mysql 转义字符和php addslashes

遇到一个很奇怪的问题，json数据中含有中文：

"mail":{"title":"\u6218\u529b\u8fbe\u4eba\u6d3b\u52a8\u5956\u52b1\u53d1\u653e","content":"\u606d\u559c\u60a8\u5728\u5408\u670d\u540e\uff0c\u60a8\u96c4\u9738\u6218\u529b\u699c\u7b2c\u4e00\u4f4d\uff0c\u83b7\u5f97\u6218\u529b\u699c\u7b2c1\u540d\u793c\u5305<\/font>\uff0c\u8bf7\u6536\u53d6\u9644\u4ef6\u83b7\u53d6\u5956\u52b1\u3002"}}

把这段数据作为一个串插入一个blob类型时，\ 全都消失了。

\u6218\u529b\u8fbe\变成了

u6218u529bu8fbeu4ebau6d3bu52a8u5956u52b1u53d1u653e。

导致取出数据库json_decode解不出中文。这就要说到mysql转义字符了。

在字符串中，某些序列具有特殊含义。这些序列均用反斜线(‘\’)开始，即所谓的转义字符。MySQL识别下面的转义序列：

\0	ASCII 0(NUL)字符。
\'	单引号(‘'’)。
\"	双引号(‘"’)。
\b	退格符。
\n	换行符。
\r	回车符。
\t	tab字符。
\Z	ASCII 26(控制（Ctrl）-Z)。该字符可以编码为‘\Z’，以允许你解决在Windows中ASCII 26代表文件结尾这一问题。(如果你试图使用mysql db_name < file_name，ASCII 26会带来问题）。
\\	反斜线(‘\’)字符。
\%	‘%’字符。参见表后面的注解。
\_	‘_’字符。参见表后面的注解。

这些序列对大小写敏感。例如，‘\b’解释为退格，但‘\B’解释为‘B’。

‘\%’和‘\_’序列用于搜索可能会解释为通配符的模式匹配环境中的‘%’和‘_’文字实例。参见12.3.1节，“字符串比较函数”。请注意如果你在其它环境中使用‘\%’或‘\_’，它们返回字符串‘\%’和‘\_’，而不是‘%’和‘_’。

在其它转义序列中，反斜线被忽略。也就是说，转义字符解释为仿佛没有转义。

有几种方式可以在字符串中包括引号：

·         在字符串内用‘'’引用的‘'’可以写成‘''’。

·         在字符串内用‘"’引用的‘"’可以写成‘""’。

·         可以在引号前加转义字符(‘\’)。

·         在字符串内用‘"’引用的‘'’不需要特殊处理，不需要用双字符或转义。同样，在字符串内用‘'’引用的‘"’也不需要特殊处理。

下面的SELECT语句显示了引用和转义如何工作：

mysql> SELECT 'hello', '"hello"', '""hello""', 'hel''lo', '\'hello';

+-------+---------+-----------+--------+--------+

| hello | "hello" | ""hello"" | hel'lo | 'hello |

+-------+---------+-----------+--------+--------+

mysql> SELECT "hello", "'hello'", "''hello''", "hel""lo", "\"hello";

+-------+---------+-----------+--------+--------+

| hello | 'hello' | ''hello'' | hel"lo | "hello |

+-------+---------+-----------+--------+--------+

mysql> SELECT 'This\nIs\nFour\nLines';

+--------------------+

| This

Is

Four

Lines |

+--------------------+

mysql> SELECT 'disappearing\ backslash';

+------------------------+

| disappearing backslash |

+------------------------+

如果你想要在字符串列内插入二进制数据(例如BLOB)，必须通过转义序列表示下面的字符：

NUL	NUL字节(ASCII 0)。用‘\0’表示该字符(反斜线后面跟一个ASCII‘0’字符)。
\	反斜线(ASCII 92)。用‘\\’表示该字符。
'	单引号(ASCII 39)。用‘\'’表示该字符。
"	双引号(ASCII 34)。用‘\"’表示该字符。

当编写应用程序时，在包含这些特殊字符的字符串用于发送到MySQL服务器的SQL语句中的数据值之前，必须对它们正确进行转义。可以用两种方法来完成：

·         用转义特殊字符的函数处理字符串。例如，在C程序中，可以使用mysql_real_escape_string() C API函数来转义字符。参见25.2.3.52节，“mysql_real_escape_string()”。Perl DBI接口提供一个quote方法来将特殊字符转换为正确的转义序列。参见25.4节，“MySQL Perl API”。

·         显式转义特殊字符，许多MySQL API提供了占位符功能，允许你在查询字符串中插入特殊标记，然后当你发出查询时将数据值同它们绑定起来。在这种情况下，API关注转义值中的特殊字符。

php stripslashes和addslashes的区别

我们在向mysql写入数据时，比如：

复制代码代码如下:

mysql_query("update table set `title`='kuhanzhu's blog'");

那就会出错。同asp时一样，数据库都会对单引号过敏。而addslashes在这个时候就最长面子了，跟asp的replace(”‘”,”””,”kuhanzhu's blog”)功能一样。

PHP为了安全性，所以引入了个magic_quotes_gpc = On的功能，可以不需要做任何处理就能直接把单引号插入数据库中，那么对于Off时，则需要考虑单引号的问题了，而不是一味地信任运行环境。

当magic_quotes_gpc = On时，使用了addslashes()处理后的数据在数据库中将以\'形式保存，如果此时直接输出的话，就会发现比自己期待的内容多了个\，因此stripslashes()出场了，它能把\去掉（区别于str_replace(”\”, “”,$Str)）。

当magic_quotes_gpc = Off时，使用了addslashes()处理后的数据在数据库中将以'形式保存，没有上面说的有\的问题，addslashes()起到插入数据不出错的作用，如果此时直接输出的话，数据正常。不需要再用stripslashes()。

addslashes()和stripslashes()正好是相反的，直接记忆：addslashes()加个\，stripslashes()去个\

那么什么时候用呢？

简单说：

当magic_quotes_gpc = On时，系统会自动处理单引号等问题，用不用addslashes()和stripslashes()都没关系，但是如果添加数据时用了addslashes()，那么显示数据时必须要stripslashes()

当magic_quotes_gpc = Off时，系统不会处理单引号等问题，所以插入数据时必须要使用addslashes()，显示数据时则不需要使用stripslashes()。

既然有了分析，做程序时要怎么办呢？根据以上两种情况，可得：

不管magic_quotes_gpc是On还是Off，咱添加数据时都用addslashes()，当On时，必须使用stripslashes()，Off时则不能用stripslashes()。

如何判断On还是Off呢？用get_magic_quotes_gpc()。

最后举例：

代码
//提交数据，或者变量准备：
$Content=addslashes(”这里面是数据，不管有没单引号或者还是变量”);
//插入数据到数据库，代码省略
//开始显示数据
$Content=”从数据库读取的数据”;
if(get_magic_quotes_gpc()){
  $Content=stripslashes($Content);
}
echo $Content;