Last updated: Fri, 16 May 2008

addcslashes

(PHP 4, PHP 5)

addcslashes — Ajoute des slash dans une chaîne, à la mode du langage C

Description

string addcslashes ( string $str , string $charlist )

addcslashes() retourne la chaîne str , après avoir ajouté des antislashs devant tous les caractères qui sont présents dans la liste charlist . Si charlist contient les caractères \n, \r etc., ils seront convertis à la mode du langage C, alors que les autres caractères non-alphanumériques ayant un code ASCII inférieur à 26, et supérieur à 126 sont remplacés par leur représentation octale.

Attention à l'utilisation des caractères tels que 0, a, b, f, n, r, t et v. Ils seront convertis en \0, \a, \b, \f, \n, \r, \t et \v. En PHP, \0 (NULL), \r (retour chariot), \n (nouvelle ligne) et \t (tabulation horizontale) sont prédéfinis comme séquences d'échappement, tandis qu'en C, ce sont toutes les séquences cités ci-dessus qui sont des séquences d'échappement.

charlist peut s'écrire "\0..\37", ce qui identifie tous les caractères ASCII dont le code est entre 0 et 37.

Exemple #1 Exemple avec addcslashes()


<?php
$escaped = addcslashes($not_escaped, "\0..\37!@\177..\377");
?>

Lorsque vous définissez une séquence de caractères dans le paramètre charlist , assurez-vous que vous connaissez bien tous les caractères qui viennent entre vos limites d'intervalles.

Exemple #2 Exemple avec addcslashes() et charlist


<?php
  echo addcslashes('foo[ ]', 'A..z');
// affiche :  \f\o\o\[ \]
// Toutes les majuscules et minuscules seront échappées
// ... mais aussi les caractères [\]^_` et les tabulations
// retours chariots, nouvelles lignes....
?>

De plus, si le premier caractère d'un intervalle a un code ASCII plus grand que le second, l'intervalle ne sera pas créé. Seules les bornes de l'intervalle et le caractère point (.) seront échappés. Utilisez la fonction ord() pour trouver la valeur ASCII d'un caractère.

Exemple #3 Exemple avec addcslashes() et charlist (2)


<?php
echo addcslashes("zoo['.']", 'z..A'); // \zoo['\.']
?>

Voir aussi stripcslashes(), stripslashes(), addslashes(), htmlspecialchars() et quotemeta().

addslashes

Fonctions sur les chaînes de caractères

Last updated: Fri, 16 May 2008

add a note User Contributed Notes
addcslashes

stein at visibone dot com
13-Nov-2007 12:16


addcslashes() treats NUL as a string terminator:



   assert("any"  === addcslashes("any\0body", "-"));



unless you order it backslashified:



   assert("any\\000body" === addcslashes("any\0body", "\0"));



(Uncertain whether this should be declared a bug or simply that addcslashes() is not binary-safe, whatever that means.)

Johannes
27-Oct-2007 02:34


Be carefull with adding the \ to the list of encoded characters. When you add it at the last position it encodes all encoding slashes. I got a lot of \\\ by this mistake.



So always encode \ at first.

phpcoder at cyberpimp dot pimpdomain dot com
20-Jan-2005 09:35


Forgot to add something:

The only time you would likely use addcslashes() without specifying the backslash (\) character in charlist is when you are VALIDATING (not encoding!) a data string.



(Validation ensures that all control characters and other unsafe characters are correctly encoded / escaped, but does not alter any pre-existing escape sequences.)



You can validate a data string multiple times without fear of "double encoding".  A single decoding pass will return the original data, regardless of how many times it was validated.)

phpcoder at cyberpimp dot pimpdomain dot com
20-Jan-2005 08:02


If you are using addcslashes() to encode text which is to later be decoded back to it's original form, you MUST specify the backslash (\) character in charlist!



Example:



<?php

  $originaltext = 'This text does NOT contain \\n a new-line!';

  $encoded = addcslashes($originaltext, '\\');

  $decoded = stripcslashes($encoded);

  //$decoded now contains a copy of $originaltext with perfect integrity

  echo $decoded; //Display the sentence with it's literal \n intact

?>



If the '\\' was not specified in addcslashes(), any literal \n (or other C-style special character) sequences in $originaltext would pass through un-encoded, but then be decoded into control characters by stripcslashes() and the data would lose it's integrity through the encode-decode transaction.

ruben at intesys dot it
31-May-2004 06:51


jsAddSlashes for XHTML documents:



<?php

header("Content-type: text/xml");



print <<<EOF

<?xml version="1.0"?>

<html>

<head>

<script type="text/javascript">



EOF;



function jsAddSlashes($str) {

    $pattern = array(

        "/\\\\/"  , "/\n/"    , "/\r/"    , "/\"/"    ,

        "/\'/"    , "/&/"     , "/</"     , "/>/"

    );

    $replace = array(

        "\\\\\\\\", "\\n"     , "\\r"     , "\\\""    ,

        "\\'"     , "\\x26"   , "\\x3C"   , "\\x3E"

    );

    return preg_replace($pattern, $replace, $str);

}



$message = jsAddSlashes("\"<Hello>\",\r\n'&World'\\!");



print <<<EOF

alert("$message");

</script>

</head>

<body>

<h1>Hello, World!</h1>

</body>

</html>



EOF;

?>

21-Sep-2003 08:44


<?

function jsaddslashes($s)

{

 $o="";

 $l=strlen($s);

 for($i=0;$i<$l;$i++)

 {

  $c=$s[$i];

  switch($c)

  {

   case '<': $o.='\\x3C'; break;

   case '>': $o.='\\x3E'; break;

   case '\'': $o.='\\\''; break;

   case '\\': $o.='\\\\'; break;

   case '"':  $o.='\\"'; break;

   case "\n": $o.='\\n'; break;

   case "\r": $o.='\\r'; break;

   default:

   $o.=$c;

  }

 }

 return $o;

}



?>

<script language="javascript">

document.write("<? echo jsaddslashes('<h1 style="color:red">hello</h1>'); ?>");

</script>



output :



<script language="javascript">

document.write("\x3Ch1 style=\"color:red\"\x3Ehello\x3C/h1\x3E");

</script>

natNOSPAM at noworrie dot NO_SPAM dot com
18-May-2002 01:22


I have found the following to be much more appropriate code example:





<?php


$escaped = addcslashes($not_escaped, "\0..\37!@\@\177..\377");


?>





This will protect original, innocent backslashes from stripcslashes.

add a note

addslashes

Fonctions sur les chaînes de caractères

Last updated: Fri, 16 May 2008