当打开时,所有的 '(单引号),(双引号),\(反斜线)和 null 字符都会被自动加上一个反斜线进行转义。这和 addslashes() 作用完全相同。
一共有三个魔术引号指令:
magic_quotes_gpc 影响到 http 请求数据(get,post 和 cookie)。不能在运行时改变。在 php 中默认值为 on。 参见 get_magic_quotes_gpc()。
magic_quotes_runtime 如果打开的话,大部份从外部来源取得数据并返回的函数,包括从数据库和文本文件,所返回的数据都会被反斜线转义。该选项可在运行的时改变,在 php 中的默认值为 off。 参见 set_magic_quotes_runtime() 和 get_magic_quotes_runtime()。
magic_quotes_sybase 如果打开的话,将会使用单引号对单引号进行转义而非反斜线。此选项会完全覆盖 magic_quotes_gpc。如果同时打开两个选项的话,单引号将会被转义成 ''。而双引号、反斜线 和 null 字符将不会进行转义。 如何取得其值参见 ini_get()。
addslashes — 使用反斜线引用字符串
说明
string addslashes ( string $str )
返回字符串,该字符串为了数据库查询语句等的需要在某些字符前加上了反斜线。这些字符是单引号(')、双引号()、反斜线(\)与 nul(null 字符)。
一个使用 addslashes() 的例子是当你要往数据库中输入数据时。例如,将名字 o'reilly 插入到数据库中,这就需要对其进行转义。大多数据库使用 \ 作为转义符:o\'reilly。这样可以将数据放入数据库中,而不会插入额外的 \。当 php 指令 magic_quotes_sybase 被设置成 on 时,意味着插入 ' 时将使用 ' 进行转义。
默认情况下,php 指令 magic_quotes_gpc 为 on,它主要是对所有的 get、post 和 cookie 数据自动运行 addslashes()。不要对已经被 magic_quotes_gpc 转义过的字符串使用 addslashes(),因为这样会导致双层转义。遇到这种情况时可以使用函数 get_magic_quotes_gpc() 进行检测。
stripslashes
(php 4, php 5)
stripslashes — un-quote string quoted with addslashes()
说明
string stripslashes ( string $str )
un-quotes a quoted string.
note: if magic_quotes_sybase is on, no backslashes are stripped off but two apostrophes are replaced by one instead.
sql injection问题在asp上可是闹得沸沸扬扬?5比换褂胁簧俟?内外著名的php程序“遇难”。至于sql injection的详情,网上的文章太多了,在此就不作介绍。
如 果你网站空间的php.ini文件里的magic_quotes_gpc设成了off,那么php就不会在敏感字符前加上反斜杠(\),由于表单提交的内 容可能含有敏感字符,如单引号('),就导致了sql injection的漏洞。在这种情况下,我们可以用addslashes()来解决问题,它会自动在敏感字符前添加反斜杠。
但是,上面的方法只 适用于magic_quotes_gpc=off的情况。作为一个开发者,你不知道每个用户的magic_quotes_gpc是on还是off,如果把 全部的数据都用上addslashes(),那不是“滥杀无辜”了?假如magic_quotes_gpc=on,并且又用了addslashes()函 数,那让我们来看看:
<?php
//如果从表单提交一个变量$_post['message'],内容为 tom's book
//这此加入连接mysql数据库的代码,自己写吧
//在$_post['message']的敏感字符前加上反斜杠
$_post['message'] = addslashes($_post['message']);
//由于magic_quotes_gpc=on,所以又一次在敏感字符前加反斜杠
$sql = "insert into msg_table value('$_post[message]');";
//发送请求,把内容保存到数据库内
$query = mysql_query($sql);
//如果你再从数据库内提取这个记录并输出,就会看到 tom\'s book
?>
这样的话,在magic_quotes_gpc=on的环境里,所有输入的单引号(')都会变成(\')……
其 实我们可以用get_magic_quotes_gpc()函数轻易地解决这个问题。当magic_quotes_gpc=on时,该函数返回true; 当magic_quotes_gpc=off时,返回false。至此,肯定已经有不少人意识到:问题已经解决。请看代码:
<?php
//如果magic_quotes_gpc=off,那就为提单提交的$_post['message']里的敏感字符加反斜杠
//magic_quotes_gpc=on的情况下,则不加
if (!get_magic_quotes_gpc()) {
$_post['message'] = addslashes($_post['message']);
} else {}
?>
其实说到这里,问题已经解决。下面再说一个小技巧。
有时表单提交的变量不止一个,可能有十几个,几十个。那么一次一次地复制/粘帖addslashes(),是否麻烦了一点?由于从表单或url获取的数据都是以数组形式出现的,如$_post、$_get)?d蔷妥远ㄒ逡桓隹梢浴昂嵘ㄇь?”的函数:
<?php
function quotes($content)
{
//如果magic_quotes_gpc=off,那么就开始处理
if (!get_magic_quotes_gpc()) {
//判断$content是否为数组
if (is_array($content)) {
//如果$content是数组,那么就处理它的每一个单无
foreach ($content as $key=>$value) {
$content[$key] = addslashes($value);
}
} else {
//如果$content不是数组,那么就仅处理一次
addslashes($content);
}
} else {
//如果magic_quotes_gpc=on,那么就不处理
}
//返回$content
return $content;
}
?>