在给一个 App 做 API，从服务器端的 MySQL 取出数据，然后生成 JSON。数据中有个字段叫 content，里面保存了文章内容，含有大量 HTML 标签，这个字段在转 json 的时候需要转义，因为有大量的特殊字符会破坏 json 的结构。如果 PHP 版本 > 5.2，json_encode 自带转义。如果是旧版本的 PHP 则可以用下面的函数。

阅读全文 >>

SQL 注入是PHP应用中最常见的漏洞之一。事实上令人惊奇的是，开发者要同时犯两个错误才会引发一个SQL注入漏洞，一个是没有对输入的数据进行过滤（过滤输入），还有一个是没有对发送到数据库的数据进行转义（转义输出）。这两个重要的步骤缺一不可，需要同时加以特别关注以减少程序错误。

阅读全文 >>

另外一个Web应用安全的基础是对输出进行转义或对特殊字符进行编码，以保证原意不变。例如，O'Reilly在传送给MySQL数据库前需要转义成O\'Reilly。单引号前的反斜杠代表单引号是数据本身的一部分，而不是并不是它的本义。

阅读全文 >>

mysql_escape_string()也起到差不多的效果。关于这两个函数，记得我在用mysql_real_escape_string() 这个函数时，程序总是出错，不知道错误的原因，后来换成mysql_escape_string() 这个函数时，就可以了。查找手册，发现在用mysql_real_escape_string() 时，必须要先建立数据库连接，否则则报错 -___-|||

阅读全文 >>