快捷導(dǎo)航

深入PHP magic quotes的詳解

更新時間：2013年06月17日 10:14:00 作者：

本篇文章是對php中的magic quotes進(jìn)行了詳細(xì)的分析介紹，需要的朋友參考下

特地查看了下手冊，關(guān)于php magic quotes,常見的幾個設(shè)置如下，magic_quotes_gpc，magic_quotes_sybase，magic_quote_runtime，這幾個函數(shù)是在php.ini中去配置的，從手冊中可以看出從php5.3后已經(jīng)廢除了這些特性，所以強烈大家不要使用，在php.ini中關(guān)閉它。

php.ini中magic quotes設(shè)置

這些函數(shù)的作用是對數(shù)據(jù)進(jìn)行轉(zhuǎn)義。防止sql注入的時候，很多人會這樣寫：

復(fù)制代碼代碼如下:

if(!get_magic_quotes_gpc()){
$post=addslashes($post);
}

如果開啟了它們，會自動給你轉(zhuǎn)義單引號（'）、雙引號（"）、反斜線（\）與 NUL（null字符）,其實就相當(dāng)于調(diào)用addslashes函數(shù)。你可能會說這樣不是很好嘛，安全性更高了，但是，你考慮代碼移植性了嗎？另外，對于上所有g(shù)pc（$_GET,$_POST,$_COOKIE）的數(shù)據(jù)你都進(jìn)行轉(zhuǎn)義是否有必要？開銷有多大？下面PHP點點通(phpddt.com)就對手冊中關(guān)于Magic Quotes的詳細(xì)說明：

1.magic_quotes_gpc

magic_quotes_gpc這個是用來設(shè)置GPC($_GET、$_POST、$_COOKIE)的魔術(shù)引用狀態(tài)（在PHP4中也包含$_ENV）。當(dāng)開啟時，所有的單引號(single-quote),雙引號(double quote),反斜線(backslash)和NUL's會被反斜線自動轉(zhuǎn)義。當(dāng)開啟magic_quote_sybase為on時，只有單引號(singgle-quote)會被單引號轉(zhuǎn)義為''，雙引號、反斜線(backslash)和NUL's不受影響不會被轉(zhuǎn)義。

magic_quotes_gpc教程

2.magic_quote_runtime

magic_quote_runtime如果開啟該選項，許多返回外部數(shù)據(jù)(數(shù)據(jù)庫、文本)的函數(shù)將會被反斜線(backslash)轉(zhuǎn)義。如果也開啟magic_quote_sybase，則只有單引號(single-quote)會被單引號轉(zhuǎn)義。

magic_quote_runtime教程

3.magic_quotes_sybase

magic_quotes_sybase如果設(shè)置此選項開啟、在magic_quotes_gpc,magic_quotes_runtime開啟的情況下單引號‘會被單引號'轉(zhuǎn)移而不是被反斜線\轉(zhuǎn)義。同時、此設(shè)置會完全覆蓋magic_quotes_gpc的設(shè)置，即使magic_quotes_gpc被設(shè)置為on，雙引號“、反斜線\和NUL's也不會被轉(zhuǎn)義。

magic_quotes_sybase教程