例如，当在文本字段中键入'时，PHP会在其前面放置一个\。

我使用以下内容进行过滤：

$comment_body = $_POST['comment_body'];
$comment_body = nl2br(htmlspecialchars($comment_body));
$comment_body = mysqli_real_escape_string($db_conx,$comment_body);

这就是mysqli_real_escape_string的作用。仅应在将数据放入数据库中时使用。如果要输出$ comment_body，则只需省略代码段的最后一行即可。如果您遇到两次转义，可能是magic quotes配置指令的结果。