您现在的位置:计算机技术学习网 > 技术中心 > WEB编程 > PHP >

PHP 魔术引号详解讲解

来源:未知 责任编辑:智问网络 发表时间:2013-11-04 19:49 点击:
         PHP之安全在于其默认配置php.ini-dist中具备一个magic_quotes_gpc = On的东西,叫“魔术引号(Magic Quote)”,对PHP初学者很有用,“尽管SQL注入在魔术引号打开的情况下仍然有可能实现,但起码系统的风险减少很多了”(PHP手册)。但是对于 PHP代码的移植性却造成了影响,而且并不是每一个被魔术引号转义的数据都需要写入数据库,这样就对程序的执行效率造成了影响,倒不如使用 addslashes(),所以在
php.ini-recommended中magic_quotes_gpc = Off。
        这里用一段函数来判断是否打开了magic_quotes_gpc,然后确定是否需要addslashes(),当然,这样做可能效率会受到影响。

PHP系统配置文件php.ini中有三个魔术引号配置选项:

魔术引号配置选项 描述 运行时改变 PHP中的默认值
magic_quotes_gpc 如果打开的话,影响 到 HTTP 请求数据(GET,POST 和 COOKIE)。 NO On
magic_quotes_runtime 如果打开的话,大部 份从外部来源取得数据并返回的函数,包括从数据库和文本文件,所返回的数据都会被反斜线转义。(前提是magic_quotes_gpc = On) YES Off
magic_quotes_sybase 当关闭时,所有的 (单引号),"(双引号),(反斜线)和 NULL 字符都会被自动加上一个反斜线进行转义。这和 addslashes() 作用完全相同。
如果打开的话,将会使用单引号对单引号进行转义而非反斜线。此选项会完全覆盖 magic_quotes_gpc。如果同时打开两个选项的话,单引号将会被转义成 。而双引号、反斜线 和 NULL 字符将不会进行转义。
(前提是magic_quotes_gpc = On)
YES Off

        从上表可以看出,对于magic_quotes_runtime,在程序中用 ini_set(magic_quotes_runtime, 0);就可以把它关掉,然后可以用自己的方法来处理来自数据库或文件的数据。   
        但是要处理外部传来的全局变量就比较麻烦了。下面的代码可供使用,这里将屏蔽magic_quotes_sybase,只是将引号之类的东西前面加上反斜线(),用于提交给MySql数据库。
<?php
functionquotesOuterVars($var) {
    if(is_array($var)) {
        returnarray_map(quotesOuterVars,$var);
    }else{
        if(get_magic_quotes_gpc()) {
        // 如果 magic_quotes_sybase=On,我们先把 替换成 ,然后再addslashes
            if(ini_get(magic_quotes_sybase)) {
                $var = str_replace("", "",$var);
                $var=addslashes($var);
                }
            }else{
            $var=addslashes($var);
            }
        returntrim($var);
    }
}
?>
    发表评论
    请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
    用户名: 验证码:点击我更换图片
    最新评论 更多>>

    推荐热点

    • PHP测试
    • 十天学会php之第六天
    • 几种显示数据的方法的比较
    • 使用xmlhttp为网站增加域名查询功能
    • PHP+MYSQL+Javascript数据库查询结果的动态显示
    • 查找数组中指定键名的值
    • 用redis实现跨服务器session
    • 用新浪微博接口发送图片微博失败的原因
    • smarty局部缓存技术[源码分析]
    网站首页 - 友情链接 - 网站地图 - TAG标签 - RSS订阅 - 内容搜索
    Copyright © 2008-2015 计算机技术学习交流网. 版权所有

    豫ICP备11007008号-1