深入PHP magic quotes的詳解

更新時間：2013年06月17日 10:14:00 作者：

本篇文章是對php中的magic quotes進行了詳細的分析介紹，需要的朋友參考下

特地查看了下手冊，關于php magic quotes,常見的幾個設置如下，magic_quotes_gpc，magic_quotes_sybase，magic_quote_runtime，這幾個函數是在php.ini中去配置的，從手冊中可以看出從php5.3后已經廢除了這些特性，所以強烈大家不要使用，在php.ini中關閉它。

php.ini中magic quotes設置

這些函數的作用是對數據進行轉義。防止sql注入的時候，很多人會這樣寫：

復制代碼代碼如下:

if(!get_magic_quotes_gpc()){
$post=addslashes($post);
}

如果開啟了它們，會自動給你轉義單引號（'）、雙引號（"）、反斜線（\）與 NUL（null字符）,其實就相當于調用addslashes函數。你可能會說這樣不是很好嘛，安全性更高了，但是，你考慮代碼移植性了嗎？另外，對于上所有gpc（$_GET,$_POST,$_COOKIE）的數據你都進行轉義是否有必要？開銷有多大？下面PHP點點通(phpddt.com)就對手冊中關于Magic Quotes的詳細說明：

1.magic_quotes_gpc

magic_quotes_gpc這個是用來設置GPC($_GET、$_POST、$_COOKIE)的魔術引用狀態(tài)（在PHP4中也包含$_ENV）。當開啟時，所有的單引號(single-quote),雙引號(double quote),反斜線(backslash)和NUL's會被反斜線自動轉義。當開啟magic_quote_sybase為on時，只有單引號(singgle-quote)會被單引號轉義為''，雙引號、反斜線(backslash)和NUL's不受影響不會被轉義。

magic_quotes_gpc教程

2.magic_quote_runtime

magic_quote_runtime如果開啟該選項，許多返回外部數據(數據庫、文本)的函數將會被反斜線(backslash)轉義。如果也開啟magic_quote_sybase，則只有單引號(single-quote)會被單引號轉義。

magic_quote_runtime教程

3.magic_quotes_sybase

magic_quotes_sybase如果設置此選項開啟、在magic_quotes_gpc,magic_quotes_runtime開啟的情況下單引號‘會被單引號'轉移而不是被反斜線\轉義。同時、此設置會完全覆蓋magic_quotes_gpc的設置，即使magic_quotes_gpc被設置為on，雙引號“、反斜線\和NUL's也不會被轉義。

magic_quotes_sybase教程