字符串函数
在线手册:中文  英文

stripslashes

(PHP 4, PHP 5)

stripslashes反引用一个引用字符串

说明

string stripslashes ( string $str )

反引用一个引用字符串。

Note:

如果 magic_quotes_sybase 项开启,反斜线将被去除,但是两个反斜线将会被替换成一个。

一个使用范例是使用 PHP 检测 magic_quotes_gpc 配置项的 开启情况(默认是开启的)并且你不需要将数据插入到一个需要转义的位置(例如数据库)。例如,你只是简单地将表单数据直接输出。

参数

str

输入字符串。

返回值

返回一个去除转义反斜线后的字符串(\' 转换为 ' 等等)。双反斜线(\\)被转换为单个反斜线(\)。

范例

Example #1 stripslashes() 范例

<?php
$str 
"Is your name O\'reilly?";

// 输出: Is your name O'reilly?
echo stripslashes($str);
?>

Note:

stripslashes() 是非递归的。如果你想要在多维数组中使用该函数,你需要使用递归函数。

Example #2 对数组使用 stripslashes()

<?php
function stripslashes_deep($value)
{
    
$value is_array($value) ?
                
array_map('stripslashes_deep'$value) :
                
stripslashes($value);

    return 
$value;
}

// 范例
$array = array("f\\'oo""b\\'ar", array("fo\\'o""b\\'ar"));
$array stripslashes_deep($array);

// 输出
print_r($array);
?>

以上例程会输出:

Array
(
    [0] => f'oo
    [1] => b'ar
    [2] => Array
        (
            [0] => fo'o
            [1] => b'ar
        )

)

参见


字符串函数
在线手册:中文  英文

用户评论:

Yousef Ismaeil Cliprz (2013-02-19 07:41:37)

If you want to use stripslashes(); function for a string or array you can create a user function

as in example:

<?php

if (!function_exists('strip_slashes'))
{
    
/**
     * Un-quotes a quoted string.
     *
     * @param (mixed) $str - The input string.
     * @author Yousef Ismaeil Cliprz
     */
    
function strip_slashes($str)
    {
        if (
is_array($str))
        {
            foreach (
$str as $key => $val)
            {
                
$str[$key] = strip_slashes($val);
            }
        }
        else
        {
            
$str stripslashes($str);
        }

        return 
$str;
    }
}

$arr = array('Yousef\\\'s','\"PHP.net\"','user\\\'s');

echo 
'With strip_slashes() function:<br />';
print_r(strip_slashes($arr));
echo 
'<br />';
echo 
'Without strip_slashes() function:<br />';
print_r($arr);

/** You will get
With strip_slashes() function:
Array ( [0] => Yousef's [1] => "PHP.net" [2] => user's )
Without strip_slashes() function:
Array ( [0] => Yousef\'s [1] => \"PHP.net\" [2] => user\'s )
*/

?>

StefanoAI (2013-01-27 02:31:36)

Recursive stripslashes
<?php
if (get_magic_quotes_gpc()) {

    function 
stripslashes_array(&$arr) {
        foreach (
$arr as $k => &$v) {
            
$nk stripslashes($k);
            if (
$nk != $k) {
                
$arr[$nk] = &$v;
                unset(
$arr[$k]);
            }
            if (
is_array($v)) {
                
stripslashes_array($v);
            } else {
                
$arr[$nk] = stripslashes($v);
            }
        }
    }

    
stripslashes_array($_POST);
    
stripslashes_array($_GET);
    
stripslashes_array($_REQUEST);
    
stripslashes_array($_COOKIE);
}
?>

todd at toddzebert dot com (2012-06-26 19:18:32)

Attempting to use stripslashes on an array in 5.2.17 returns the string "Array", but in 5.3.6 it returns NULL.

tarmo at goyf dot de (2012-03-06 14:58:13)

When matching strings with approstrophes against the mysql database, my query kept failing while it worked fine when I copied the same query directly to perform the database query. After several hours I found that stripslashes() made the string longer and hence it wasn't "equal" for the query.

This code shows the behavior (copy into "test.php"). Replacing stripslashes worked for me.

<?php
echo '<h2>Post-Data</h2>';
var_dump($_POST);

$f1 trim(filter_var(stripslashes($_POST[form]), FILTER_SANITIZE_STRING));
echo 
'<h2>stripslashes</h2>';
var_dump($f1);

$f2 trim(str_replace("|","'",filter_var(str_replace("\'","|",$_POST[form]), FILTER_SANITIZE_STRING)));
echo 
'<h2>workaround</h2>';
var_dump($f2);
    
echo 
'<form action="test.php" method="post">
    <input type="text" name="form">
    <input type="submit">
    </form>'
;
?>

Entering "foo'bar" creates this output:
// Post-Data
// array(1) { ["form"]=> string(8) "foo\'bar" }
// stripslashes
// string(11) "foo'bar"
// workaround
// string(7) "foo'bar"

jeremysawesome (2010-12-10 12:39:05)

I'm using this to clean the $_POST array:
<?php
array_walk_recursive
($_POSTcreate_function('&$val''$val = stripslashes($val);'));
?>

jeremycook0 at googlemail dot com (2010-08-01 08:04:24)

Here's a way of stripping slashes in PHP 5.3 using a recursive closure:

<?php
  
if (get_magic_quotes_gpc()) {
      
$strip_slashes_deep = function ($value) use (&$strip_slashes_deep) {
          return 
is_array($value) ? array_map($strip_slashes_deep$value) : stripslashes($value);
      };
      
$_GET array_map($strip_slashes_deep$_GET);
      
$_POST array_map($strip_slashes_deep$_POST);
      
$_COOKIE array_map($strip_slashes_deep$_COOKIE);
  }
?>

Note that the variable '$strip_slashes_deep' has to be passed to the closure by reference. I think that this is because at the time the closure is created the variable '$strip_slashes_deep' doesn't exist: the closure itself becomes the value of the variable. Passing by reference solves this issue. This closure could easily be adapted to use other methods of stripping slashes such as preg_replace().

hawkeye at conreports dot de (2010-01-21 05:01:19)

Another way to strip slashes only if necessary, independent of magic_quotes_gpc by comparing the count of (possibly) escaped characters and original characters.

<?php
function smartstripslashes($str) {
  
$cd1 substr_count($str"\"");
  
$cd2 substr_count($str"\\\"");
  
$cs1 substr_count($str"'");
  
$cs2 substr_count($str"\\'");
  
$tmp strtr($str, array("\\\"" => """\\'" => ""));
  
$cb1 substr_count($tmp"\\");
  
$cb2 substr_count($tmp"\\\\");
  if (
$cd1 == $cd2 && $cs1 == $cs2 && $cb1 == $cb2) {
    return 
strtr($str, array("\\\"" => "\"""\\'" => "'""\\\\" => "\\"));
  }
  return 
$str;
}
?>

eugene at ultimatecms dot co dot za (2009-11-23 05:03:13)

This is a simple function to remove the slashes added by functions such as magic_quotes_gpc and mysql_escape_string etc.

<?php

function no_magic_quotes($query) {
        
$data explode("\\",$query);
        
$cleaned implode("",$data);
        return 
$cleaned;
}

// I'm using mysql_escape_string as a simple example, but this function would work for any escaped string.
$query "It's amaizing! Who's to say this isn't a simple function?";
$badstring mysql_escape_string($query);

echo 
'<b>Without funtion:</b> '.$badstring;
echo 
'<br><br>';
echo 
'<b>With function:</b> '.no_magic_quotes($badstring);

?>

Output:
Without funtion: It\'s amaizing! Who\'s to say this isn\'t a simple function?

With function: It's amaizing! Who's to say this isn't a simple function?

michal at roszka dot pl (2009-08-31 20:00:33)

The goal is to leave the input untouched in PHP 5.2.8. Let's have this sample text given in $_POST['example']:

a backslash ( \ ), a single-quote ( ' ), a double-quote ( " ) and a null character ( \0 )

Let's have two simple scripts:

Script A:
<?php echo $_POST['example']; ?>

Script B:
<?php echo stripslashes($_POST['example']); ?>

Let's have four different configurations and corresponding output:

Case #1:

 * magic_quotes_gpc = Off
 * magic_quotes_sybase = Off

A: a backslash ( \ ), a single-quote ( ' ), a double-quote ( " ) and a null character ( \0 )
B: a backslash (  ), a single-quote ( ' ), a double-quote ( " ) and a null character ( ? )

Case #2

 * magic_quotes_gpc = On
 * magic_quotes_sybase = Off

A: a backslash ( \\ ), a single-quote ( \' ), a double-quote ( \" ) and a null character ( \\0 )
B: a backslash ( \ ), a single-quote ( ' ), a double-quote ( " ) and a null character ( \0 )

Case #3

 * magic_quotes_gpc = On
 * magic_quotes_sybase = On
 
A: a backslash ( \ ), a single-quote ( '' ), a double-quote ( " ) and a null character ( \0 )
B: a backslash ( \ ), a single-quote ( ' ), a double-quote ( " ) and a null character ( ? )

Case #4

 * magic_quotes_gpc = Off
 * magic_quotes_sybase = On

A: a backslash ( \ ), a single-quote ( ' ), a double-quote ( " ) and a null character ( \0 )
B: a backslash (  ), a single-quote ( ' ), a double-quote ( " ) and a null character ( ? )

Conclusions:

1) we do not need to do anything, if the magic_quotes_gpc is disabled (cases 1 and 4);
2) stripslashes($_POST['example']) only works, if the magic_quotes_gpc is enabled, but the magic_quotes_sybase is disabled (case 2);
3) str_replace("''", "'", $_POST['example']) will do the trick if both the magic_quotes_gpc and the magic_quotes_sybase are enabled (case 3);

<?php
function disable_magic_quotes_gpc()
{
    if (
TRUE == function_exists('get_magic_quotes_gpc') && == get_magic_quotes_gpc())
    {
        
$mqs strtolower(ini_get('magic_quotes_sybase'));

        if (
TRUE == empty($mqs) || 'off' == $mqs)
        {
            
// we need to do stripslashes on $_GET, $_POST and $_COOKIE
        
}
        else
        {
            
// we need to do str_replace("''", "'", ...) on $_GET, $_POST, $_COOKIE
        
}
    }
    
// otherwise we do not need to do anything
}
?>

Important notes:

1) arrays need to be processed recursively;

2) both stripslashes and str_replace functions always return strings, so:

* TRUE will become a string "1",
* FALSE will become an empty string,
* integers and floats will become strings,
* NULL will become an empty string.

On the other hand you only need to process strings, so use the is_string function to check;

3) when dealing with other (than GPC) data sources, such as databases or text files, remember to play with the magic_quotes_runtime setting as well, see, what happens and write a corresponding function, i.e. disable_magic_quotes_runtime() or something.

4) VERY IMPORTANT: when testing, remember the null character. Otherwise your tests will be inconclusive and you may end up with... well, serious bugs :)

JacobRas.nl (2009-07-28 05:41:48)

Hi,

Here's an function that strips not only \', but also \\' and \\\' and so on (depending on $times). $text = the text that needs to be stripped, $times = how much backslashes should be stripped.

<?php

function stripslashes_deep ($text$times) {
    
    
$i 0;
    
    
// loop will execute $times times.
    
while (strstr($text'\\') && $i != $times) {
        
        
$textstripslashes($text);
        
$i++;
        
    }
    
    return 
$text;
    
}

?>

Example: $text = \\'quote\\' . <?php stripslashes_deep($text2); ?> will return 'quote'.
Note: <?php stripslashes_deep($text3); ?> will also return 'quote'.

shredder at technodrome dot com (2009-05-09 15:50:42)

Hi, 

Here are recursive addslashes / stripslashes functions.
given a string - it will simply add / strip slashes
given an array - it will recursively add / strip slashes from the array and all of it subarrays. 
if the value is not a string or array - it will remain unmodified!

<?php

function add_slashes_recursive$variable )
{
    if ( 
is_string$variable ) )
        return 
addslashes$variable ) ;

    elseif ( 
is_array$variable ) )
        foreach( 
$variable as $i => $value )
            
$variable$i ] = add_slashes_recursive$value ) ;

    return 
$variable ;
}

function 
strip_slashes_recursive$variable )
{
    if ( 
is_string$variable ) )
        return 
stripslashes$variable ) ;
    if ( 
is_array$variable ) )
        foreach( 
$variable as $i => $value )
            
$variable$i ] = strip_slashes_recursive$value ) ;
    
    return 
$variable 
}

?>

dragon[dot]dionysius[at]gmail[dot]com (2009-03-24 08:07:46)

I use this function in my class to stripslashes arrays including NULL-check:

<?php
    
private function stripslashes_deep($value) {
        if(
is_array($value)) {
            foreach(
$value as $k => $v) {
                
$return[$k] = $this->stripslashes_deep($v);
            }
        } elseif(isset(
$value)) {
            
$return stripslashes($value);
        }
        return 
$return;
    }
?>

Tom Worster (2009-03-23 07:26:23)

A replacement that should be safe on utf-8 strings.
<?php
  preg_replace
(array('/\x5C(?!\x5C)/u''/\x5C\x5C/u'), array('','\\'), $s);
?>

o-zone at zerozone dot it (2009-03-19 03:53:43)

If you need to remove all slashes from a string, here's a quick hack:

<?php
function stripallslashes($string) {
    while(
strchr($string,'\\')) {
        
$string stripslashes($string);
    }
}
?>

Hope it's usefull , O-Zone

techdesk100 (2008-04-28 07:58:12)

Function which checks if $input has correct slashes,
otherwise adds slashes. For cases when you are not sure the input is not already addslashed.
public function addslashes_once($input){
//These characters are single quote ('), double quote ("), backslash (\) and NUL (the NULL byte).
$pattern = array("\\'", "\\\"", "\\\\", "\\0");
$replace = array("", "", "", "");
if(preg_match("/[\\\\'\"\\0]/", str_replace($pattern, $replace, $input))){
return addslashes($input);
}
else{
return $input;
}
}

Aditya P Bhatt (adityabhai at gmail dot com) (2008-03-27 22:03:21)

Here is simple example code which you can use as a common function in your functions file:

<?php
function stripslashes_if_gpc_magic_quotes$string ) {
    if(
get_magic_quotes_gpc()) {
        return 
stripslashes($string);
    } else {
        return 
$string;
    }
}
?>

Evgeny (2008-02-26 07:52:37)

extended version of stripslashes_deep. This allow to strip one also in the array_keys
function stripslashes_deep($value) {
if (is_array($value)) {
if (count($value)>0) {
$return = array_combine(array_map('stripslashes_deep', array_keys($value)),array_map('stripslashes_deep', array_values($value)));
} else {
$return = array_map('stripslashes_deep', $value);
}
return $return;
} else {
$return = stripslashes($value);
return $return ;
}
}

tokyoahead (2008-01-10 21:39:33)

I am using this here to clear data in a CMS against SQL injections and other mayhem. The flow is:

1. input into form 
2. get from $_GET/$_POST 
3. cleanup($data, true) 
4. save to SQL
5. load from SQL 
6. cleanup($data, false)
7. show in form for new edit or on the website

<?php
function cleanup($data$write=false) {
    if (
is_array($data)) {
        foreach (
$data as $key => $value) {
            
$data[$key] = cleanup_lvl2($value$write);
        }
    } else {
        
$data cleanup_lvl2($data$write);
    }
    return 
$data;
}

function 
cleanup_lvl2($data$write=false) {
    if (isset(
$data)) { // preserve NULL
        
if (get_magic_quotes_gpc()) {
            
$data stripslashes($data);
        }
        if (
$write) {
            
$data mysql_real_escape_string($data);
        }
    }
    return 
$data;
}
?>

alex dot launi at gmail dot com (2007-12-21 07:16:12)

kibby: I modified the stripslashes_deep() function so that I could use it on NULL values.
function stripslashes_deep($value)
{
if(isset($value)) {
$value = is_array($value) ?
array_map('stripslashes_deep', $value) :
stripslashes($value);
}
return $value;
}

lukas.skowronski at gmail dot com (2007-06-20 04:15:08)

If You want to delete all slashes from any table try to use my function:
function no_slashes($array)
{
foreach($array as $key=>$value)
{
if(is_array($value))
{
$value=no_slashes($value);
$array_temp[$key]=$value;
}
else
{
$array_temp[$key]=stripslashes($value);
}
}
return $array_temp;
}

dragonfly at networkinsight dot net (2007-03-11 15:22:21)

If you are having trouble with stripslashes() corrupting binary data, try using urlencode() and urldecode() instead.

JAB Creations (2007-03-05 20:49:06)

When writing to a flatfile such as an HTML page you'll notice slashes being inserted. When you write to that page it's interesting how to apply stripslashes...

I replaced this line...
<?php fwrite($file$_POST['textarea']); ?>

With...
<?php if (get_magic_quotes_gpc()) {fwrite ($filestripslashes($_POST['textarea']));}?>

You have to directly apply stripslashes to $_POST, $_GET, $_REQUEST, and $_COOKIE.

gregory at nutt dot ca (2007-02-22 06:48:25)

Here is code I use to clean the results from a MySQL query using the stripslashes function.
I do it by passing the sql result and the sql columns to the function strip_slashes_mysql_results. This way, my data is already clean by the time I want to use it.
function db_query($querystring, $array, $columns)
{
if (!$this->connect_to_mysql())
return 0;
$queryresult = mysql_query($querystring, $this->link)
or die("Invalid query: " . mysql_error());

if(mysql_num_rows($queryresult))
{
$columns = mysql_field_names ($queryresult);

if($array)
{
while($row = mysql_fetch_row($queryresult))
$row_meta[] = $this->strip_slashes_mysql_results($row, $columns);
return $row_meta;
}
else
{
while($row = mysql_fetch_object($queryresult))
$row_meta[] = $this->strip_slashes_mysql_results($row, $columns);
return $row_meta;
}
}
else
return 0;
}

function strip_slashes_mysql_results($result, $columns)
{
foreach($columns as $column)
{
if($this->debug)
printp(sprintf("strip_slashes_mysql_results: %s",strip_slashes_mysql_results));
$result->$column = stripslashes($result->$column);
}
return $result;
}

Allen (2007-02-06 23:41:06)

In response to Tim's solution, it is only good for one-dimensional array. If the variables happened to be multi-dimensional arrays, we still have to use function like 'stripslashes_deep'.

stoic (2007-01-02 08:31:46)

in response to crab dot crab at gmail dot com:
$value need not be passed by reference. The 'stripped' value is returned. The passed value is not altered.

Kibby (2006-05-14 01:41:15)

Okay, if using stripslashes_deep, it will definitely replace any NULL to "". This will affect to coding that depends isset(). Please provide a workaround based on recent note.

hauser dot j at gmail dot com (2006-02-21 02:13:06)

Don't use stripslashes if you depend on the values NULL.

Apparently stripslashes converts NULL to string(0) "" 

<?php
$a 
null;
var_dump($a);

$b stripslashes($a);
var_dump($b);
?>
Will output

NULL
string(0) ""

alf at mitose dot net (2005-10-25 17:09:35)

Take care using stripslashes() if the text you want to insert in the database contain \n characters ! You'll see "n" instead of (not seeing) "\n".
It should be no problem for XML, but is still boring ...

(2005-02-10 07:45:23)

If you want to deal with slashes in double-byte encodings, such as shift_jis or big5, you may use this:

<?
function stripslashes2($string) {
    $string = str_replace("\\\"", "\"", $string);
    $string = str_replace("\\'", "'", $string);
    $string = str_replace("\\\\", "\\", $string);
    return $string;
}
?>

mattyblah at gmail dot com (2004-09-10 08:51:26)

It should be of note that if you are stripping slashes to get rid of the slashes added by magic_quotes_gpc then it will also remove slashes from \. This may not seem that bad but if you have someone enter text such as 'testing\' with a slash at the end, this will cause an error if not corrected. It's best to strip the slashes, then add a slash to every single slash using $text = str_replace('\\', '\\\\', $text);

hash at samurai dot fm (2003-11-30 21:34:07)

Might I warn readers that they should be vary careful with the use of stripslashes on Japanese text. The shift_jis character set includes a number of two-byte code charcters that contain the hex-value 0x5c (backslash) which will get stripped by this function thus garbling those characters.
What a nightmare!

易百教程