addcslashes() treats NUL as a string terminator:
assert("any" === addcslashes("any\0body", "-"));
unless you order it backslashified:
assert("any\\000body" === addcslashes("any\0body", "\0"));
(Uncertain whether this should be declared a bug or simply that addcslashes() is not binary-safe, whatever that means.)
addcslashes
(PHP 4, PHP 5, PHP 7, PHP 8)
addcslashes — Stellt bestimmten Zeichen eines Strings ein "\" voran (wie in C)
Beschreibung
addcslashes
( string
$string
, string $characters
) : string
Gibt eine Zeichenkette zurück, in der allen Zeichen, die in
characters aufgeführt sind, ein "\" vorangestellt
ist.
Parameter-Liste
-
string -
Die zu maskierende Zeichenkette.
-
characters -
Eine Liste der zu maskierenden Zeichen. Wenn
charactersZeichen wie\n,\retc. enthält, werden diese im C-Stil konvertiert, während andere nicht-alphanumerische Zeichen mit einem ASCII-Wert kleiner als 32 oder höher als 126 in ihre oktale Repräsentation umgewandelt werden.Wenn Sie eine Zeichensequenz im charlist-Parameter notieren, informieren Sie sich darüber, welche Zeichen sich zwischen dem ersten und dem letzten Zeichen befinden!
Beachten Sie zudem, dass sofern das erste Zeichen einer Sequenz einen höheren ASCII-Wert hat, als das zweite, keine Sequenz erstellt wird. Nur das erste und das letzte Zeichen sowie Punkte werden dann maskiert. Verwenden Sie die Funktion ord(), um den ASCII-Wert eines Zeichens zu ermitteln.<?php
echo addcslashes('foo[ ]', 'A..z');
// Ausgabe: \f\o\o\[ \]
// Alle groß- und kleingeschriebenen Buchstaben werden maskiert
// ... aber ebenfalls die Zeichen [\]^_`
?><?php
echo addcslashes("zoo['.']", 'z..A');
// Ausgabe: \zoo['\.']
?>Seien Sie besonders vorsichtig, wenn Sie Zeichen wie 0, a, b, f, n, r, t oder v maskieren möchten. Sie werden zu \0, \a, \b, \f, \n, \r, \t oder \v gewandelt, die in C sämtlich vordefinierte Escape-Sequenzen sind. Viele dieser Sequenzen sind ebenfalls in anderen von C abgeleiteten Sprachen, einschließlich PHP, vordefiniert. Das bedeutet, dass Sie u.U. nicht das gewünschte Ergebnis erhalten, wenn Sie die Rückgabe von addslashes() verwenden, um Code in diesen Sprachen zu erzeugen, wenn diese Zeichen in
charlistdefiniert sind.
Rückgabewerte
Gibt die maskierte Zeichenkette zurück.
Beispiele
characters-Angaben wie "\0..\37" (oktal) bewirken
ein Maskieren aller Zeichen mit einem ASCII-Code zwischen 0 und 31
(dezimal).
Beispiel #1 addcslashes()-Beispiel
<?php
$maskiert = addcslashes($nicht_maskiert, "\0..\37!@\177..\377");
?>
Siehe auch
- stripcslashes() - Entfernt Quotes aus mit addcslashes behandelten Strings
- stripslashes() - Entfernt Maskierungszeichen aus einem String
- addslashes() - Stellt bestimmten Zeichen eines Strings ein "\" voran
- htmlspecialchars() - Wandelt Sonderzeichen in HTML-Codes um
- quotemeta() - Maskiert (quotet) Meta-Zeichen
add a note
User Contributed Notes 8 notes
stein at visibone dot com ¶
16 years ago
phpcoder at cyberpimp dot pimpdomain dot com ¶
19 years ago
If you are using addcslashes() to encode text which is to later be decoded back to it's original form, you MUST specify the backslash (\) character in charlist!
Example:
<?php
$originaltext = 'This text does NOT contain \\n a new-line!';
$encoded = addcslashes($originaltext, '\\');
$decoded = stripcslashes($encoded);
//$decoded now contains a copy of $originaltext with perfect integrity
echo $decoded; //Display the sentence with it's literal \n intact
?>
If the '\\' was not specified in addcslashes(), any literal \n (or other C-style special character) sequences in $originaltext would pass through un-encoded, but then be decoded into control characters by stripcslashes() and the data would lose it's integrity through the encode-decode transaction.
natNOSPAM at noworrie dot NO_SPAM dot com ¶
21 years ago
I have found the following to be much more appropriate code example:
<?php
$escaped = addcslashes($not_escaped, "\0..\37!@\@\177..\377");
?>
This will protect original, innocent backslashes from stripcslashes.
glitchmr at myopera dot com ¶
10 years ago
If you need JS escaping function, use json_encode() instead.
Johannes ¶
16 years ago
Be carefull with adding the \ to the list of encoded characters. When you add it at the last position it encodes all encoding slashes. I got a lot of \\\ by this mistake.
So always encode \ at first.
vishal dot ceeng at gmail dot com ¶
5 years ago
echo addcslashes("zoo['.']", 'z..A');
Above code will create an error as per below
Invalid '..'-range, '..'-range needs to be incrementing -
ruben at intesys dot it ¶
19 years ago
jsAddSlashes for XHTML documents:
<?php
header("Content-type: text/xml");
print <<<EOF
<?xml version="1.0"?>
<html>
<head>
<script type="text/javascript">
EOF;
function jsAddSlashes($str) {
$pattern = array(
"/\\\\/" , "/\n/" , "/\r/" , "/\"/" ,
"/\'/" , "/&/" , "/</" , "/>/"
);
$replace = array(
"\\\\\\\\", "\\n" , "\\r" , "\\\"" ,
"\\'" , "\\x26" , "\\x3C" , "\\x3E"
);
return preg_replace($pattern, $replace, $str);
}
$message = jsAddSlashes("\"<Hello>\",\r\n'&World'\\!");
print <<<EOF
alert("$message");
</script>
</head>
<body>
<h1>Hello, World!</h1>
</body>
</html>
EOF;
?>
Anonymous ¶
20 years ago
<?php
function jsaddslashes($s)
{
$o="";
$l=strlen($s);
for($i=0;$i<$l;$i++)
{
$c=$s[$i];
switch($c)
{
case '<': $o.='\\x3C'; break;
case '>': $o.='\\x3E'; break;
case '\'': $o.='\\\''; break;
case '\\': $o.='\\\\'; break;
case '"': $o.='\\"'; break;
case "\n": $o.='\\n'; break;
case "\r": $o.='\\r'; break;
default:
$o.=$c;
}
}
return $o;
}
?>
<script language="javascript">
document.write("<? echo jsaddslashes('<h1 style="color:red">hello</h1>'); ?>");
</script>
output :
<script language="javascript">
document.write("\x3Ch1 style=\"color:red\"\x3Ehello\x3C/h1\x3E");
</script>
