preg_quote()escapesregex-specialcharacters,includingbackslashesandthedelimiter,totreatthemasliterals;2.avoiddouble-escapingbypassingrawstrings(e.g.,'C:\path')withoutpre-escapedbackslashes;3.useforwardslashesinpathswhenpossibletoreducebackslashclutter

Heredoc處理變量插值和基本轉(zhuǎn)義序列如\n、\t、\\、\$，但不處理\"或\'，而Nowdoc不進行變量插值和任何轉(zhuǎn)義處理，所有內(nèi)容包括\n和變量均按字面輸出；1.Heredoc中變量如$name會被替換，\\n被解析為換行；2.Nowdoc中$name和\n均保持原樣；3.兩者都不需要轉(zhuǎn)義引號；4.結(jié)束標(biāo)識符必須獨占一行且無前導(dǎo)空格，PHP7.3 允許使用空格縮進結(jié)束標(biāo)識符。因此Heredoc適用于需格式化的多行字符串，Nowdoc適合輸出原始內(nèi)容如SQL或JavaScript

始終escapeOutputingContext-SpecificMethods：htmlspecialchars（）forhtmlContentAntAttributes，rawurlencode（）forurls，andjson_en code（）withjson_hex_tag，json_hex_apos，json_hex_quot，andjson_unescaped_unicodeodeforjavascript.2.usetemplatingenginesliketwig，lara

inbash，單quotestareatallacharacterslitellywhiledbouldequotesallaibal -expansionandlimitedescaping; inpythonandjavascript，bothequotetypespeshandleescapestamisame，witheChoIceMainallyablectringingingablectringingablectingabilitingabilitingabilityabilityance and Concencenience and conconvenienceWhenembednembeddingdingdingdingdingdingdingdingdingdingdoquote，souseseSingLelequote

addslashes()應(yīng)避免用于SQL轉(zhuǎn)義，因為它不安全且不防SQL注入；htmlspecialchars()用于HTML輸出以防止XSS攻擊；mysqli_real_escape_string()可用于MySQL查詢中的字符串轉(zhuǎn)義，但僅在無法使用預(yù)處理語句時作為次優(yōu)選擇。1.addslashes()是過時且不安全的，不應(yīng)在現(xiàn)代應(yīng)用中用于SQL轉(zhuǎn)義；2.htmlspecialchars()應(yīng)在將用戶輸入輸出到HTML時使用，以防止XSS；3.mysqli_real_escape_string(

TomasterbackslashesinPHPregex,understandthattwolayersofparsingoccur:PHPprocessesescapesequencesfirst,thentheregexenginedoes;2.UsesinglequotesforregexpatternstoavoidPHPinterpretingescapeslike\basbackspace;3.Indoublequotes,doublethebackslashes(e.g.,&qu

htmlspecialchars()是防止XSS攻擊的首要防線，它將特殊字符轉(zhuǎn)換為HTML實體，確保用戶輸入的內(nèi)容被瀏覽器視為純文本而非可執(zhí)行代碼。1.使用時必須指定字符編碼（如'UTF-8'）以避免解析漏洞；2.始終啟用ENT_QUOTES標(biāo)志以轉(zhuǎn)義單引號和雙引號，防止屬性上下文中的注入；3.應(yīng)在輸出時轉(zhuǎn)義而非存儲時，避免數(shù)據(jù)固化和重復(fù)轉(zhuǎn)義；4.不能單獨依賴它防御所有XSS，需結(jié)合urlencode()處理URL、json_encode()處理JavaScript數(shù)據(jù)，并對富文本使用HTMLP

SQL注入防護不能依賴addslashes()，因其不處理多字節(jié)編碼且僅轉(zhuǎn)義有限字符，易被繞過；應(yīng)使用預(yù)處理語句（如PDO或MySQLi的參數(shù)化查詢）將數(shù)據(jù)與SQL邏輯分離，確保輸入不被解析為代碼；若無法使用預(yù)處理，需根據(jù)上下文采用數(shù)據(jù)庫特定的轉(zhuǎn)義函數(shù)（如real_escape_string并設(shè)置正確字符集）、標(biāo)識符白名單或引號包裹、整型輸入強制類型轉(zhuǎn)換等方法，實現(xiàn)分層防御。