htmlコードをフォーマットする関数はどれらがあります

htmlspecialchars()htmlspecialchars()関数は、いくつかの事前定義された文字をHTMLエンティティに変換します.構文はhtmlspecialchars(string,quotestyle,character-set)です.PHPは5.4から.0バージョンからhtmlspecialchars()関数の3番目のパラメータ文字列符号化のデフォルト値をUTF-8に変更し、PHP 5.4以前の環境で作成されたコードを前向きに互換性を持たせるため、htmlspecialchars関数を呼び出す際に文字列符号化パラメータを提供することを推奨します.例えば、PHPコードの中国語コードがちょうどGB 2312コードであれば、htmlspecialchars(string,quotestyle,'GB 2312')が必要です.この関数は「」「すなわち単一引用符二重引用符をフィルタリングする入庫時に「」をフィルタリングしないとphpプログラマーは、htmlspecialcharsの役割がどれほど恐ろしいかを理解できるはずです.
定義済みの文字は次のとおりです.
&(和号)になる&
「(二重引用符)になる」
'(一重引用符)は'になります.
<(より小さい)は<
>(より大きい)になる>
出力時に特別な処理を必要としないブラウザはこれらのラベルを復元します
一般的にmysql_を使うescape_string()sql文を処理すれば多くの問題を解決できる
htmlentities 
htmlentitiesはすべてのhtmlコードを変換し、中の認識できない中国語文字も変換します.中国語があるときはhtmlspecialcharsを使ったほうがいいです.そうしないとhtmlspecialchar()関数とhtmlentities()関数のようにhtmlコードを変換する可能性があります.htmlspecialchars_decodeは変換されたhtmlの符号化を変換します.mysql_escape_string(PHP 4>=4.0.3,PHP 5,注意:PHP 5.3ではこの方法は廃止されており、推奨されていない)mysql_escape_string--mysqlに使用する文字列をエスケープします.query

   1. mysql_escape_string()   
", $escaped_item);
??>
  ：
Escaped string: Zak\'s Laptop

mysql_real_escape_string()関数
mysql_real_escape_string()関数は、SQL文で使用される文字列の特殊文字をエスケープします.
次の文字は影響を受けます.
\x00

\r
\
'
"
\x1a
成功すると、関数はエスケープされた文字列を返します.失敗した場合はfalseを返します.
データベース攻撃.この例では、mysql_をユーザー名とパスワードに適用しない場合について説明します.real_escape_string()関数で何が起こるか:

SQLクエリは次のようになります.

SELECT * FROM users
WHERE user='john' AND password='' OR ''=''

これは、任意のユーザーが合法的なパスワードを入力する必要がなく、ログインできることを意味します.
データベース攻撃を防ぐための正しい方法:

また追加を続ける場合は
ご意見ありがとうございます