2013-10-26 PHPの関数など色々覚え書き PHP htmlspecialcharsとmysql_real_escape_stringの違い htmlspecialchars htmlspecialcharsはフォームから送られた変数の値や、DBやCSVから送られた値を プラウザ表示するときに中身の値を適切な状態にエスケープする時に使う。 mysql_real_escape_string mysql_real_escape_stringはSQL文に変数を記述する際に変数の中身をやはり適切な値にエスケープするのに使用する。 まとめてみると プラウザなりDBなり、変数を外に出力する際に上記の関数を用途によって使い分けてエスケープしなければならない。
