Почему stripslashes конвертирует &region в товарный знак?

Question

[camradee]

Легаси код (~10-15 летней давности) - сохранение в админке поста, где можно вставлять html теги. Часто идет текст, потом ссылка с картинкой и в ссылке линк с параметрами. При получении запроса такой текст оборачивается stripslashes (где во фреймворке видимо используются magic quotes) и когда в линке есть параметр с начальными буквами из html entities то оно конвертится в соотв-ий символ. Например &region в товарный знак. Непонятно почему то происходит, если данная функция только убирает слэши. Повардампил также addslashes - тоже самое. Причем html entity должна заканчиваться ; а тут такое. Это баг или фича? И как можно обойти/заменить сохранив защиту от sql injection. Версия php 5.3 и запись идет через PDO prepare/bindParam.

Answer 1

[nokimaro]

Скорее всего где-то под капотом спрятана ещё html_entity_decode так как именно эта функция делает описанные вами вещи

https://www.php.net/manual/ru/function.html-entity...

Comments

[camradee]

нигде в коде не применяется; такое поведение функции можно увидеть написав одну строку

[nokimaro]

camradee, https://3v4l.org/D6lVF

Всё-равно такого поведения не наблюдаю. Точнее stripslashes() никак не изменяет строку
Но чтобы избежать проблемы используйте & при выводе этой строки внутри html-документа, в том числе если это например url внутри a href=...
aaa=1&copyop=1&type=3&region=3

<?php
$str = 'aaa=1&copyop=1&type=3&region=3';
var_dump($str);
var_dump(stripslashes($str));

string(30) "aaa=1&copyop=1&type=3&region=3"
string(30) "aaa=1&copyop=1&type=3&region=3"

[nokimaro]

camradee, то есть проблема не в stripslashes() в принципе и вашу "проблему" можно увидеть и таким кодом
echo 'aaa=1&copyop=1&type=3&region=3'; exit;