PHP关于magic quotes的理解

说明：
php手册中关于magic quotes,常见的有如下三个设置：magic_quotes_gpc，magic_quotes_sybase，magic_quote_runtime。这几个参数都是在php.ini中配置的，从手册中可以看出从php5.3起已经废除这些特性，5.4及以后版本已经直接删除了这些特性。所以强烈建议php5.3及其以下版本不要使用magic quotes，在php.ini中关闭它。

; Magic quotes for incoming GET/POST/Cookie data.
magic_quotes_gpc = Off

; Magic quotes for runtime-generated data, e.g. data from SQL, from exec(), etc.
magic_quotes_runtime = Off

; Use Sybase-style magic quotes (escape ' with '' instead of \').
magic_quotes_sybase = Off

 
这些参数的作用是对数据进行转义。因此防止sql注入时很多人会这样写：

if(!get_magic_quotes_gpc()){
    $post=addslashes($post);
}

这样就会对post获得的数据进行转义（如’转换成\’，如“转换面\”）
 
具体：
如果开启了它们，会自动给你转义单引号（’）、双引号（”）、反斜线（\）与 NUL（null字符）,其实就相当于调用addslashes函数。你可能会说这样不是很好嘛，安全性更高了，但是，你考虑代码移植性了吗？另外，对于上所有gpc（$_GET,$_POST,$_COOKIE）的数据你都进行转义是否有必要？开销有多大？下面就对手册中关于Magic Quotes的详细说明：

1.magic_quotes_gpc
magic_quotes_gpc这个是用来设置GPC($_GET、$_POST、$_COOKIE)的魔术引用状态（在PHP4中也包含$_ENV）。当开启时，所有的单引号(single-quote),双引号(double quote),反斜线(backslash)和NUL’s会被反斜线自动转义。当开启magic_quote_sybase为on时，只有单引号(singgle-quote)会被单引号转义为”，双引号、反斜线(backslash)和NUL’s不受影响不会被转义。


2.magic_quote_runtime
magic_quote_runtime如果开启该选项，许多返回外部数据(数据库、文本)的函数将会被反斜线(backslash)转义。如果也开启magic_quote_sybase，则只有单引号(single-quote)会被单引号转义。


3.magic_quotes_sybase
magic_quotes_sybase如果设置此选项开启、在magic_quotes_gpc,magic_quotes_runtime开启的情况下单引号‘会被单引号’转移而不是被反斜线\转义。同时、此设置会完全覆盖magic_quotes_gpc的设置，即使magic_quotes_gpc被设置为on，双引号“、反斜线\和NUL’s也不会被转义。


附录：
附录1.addslashes()函数效果

# cat t.php
";
echo addslashes($str) . " This is safe in a database query.";
?>

# php t.php 
Who's John Adams? This is not safe in a database query.
Who\'s John Adams? This is safe in a database query.

可以看到添加了addslashes()函数后’被转义了

附录2： 试了下，发现就会对’ ” \进行转义,其它的如str定义的都没有被转义掉

# cat t.php 
?/";
echo $str ." ". md5($str) ." " . " This is not safe in a database query.\n";
echo addslashes($str) ." ". md5(addslashes($str)) ." ". " This is safe in a database query.\n";
?>

# php t.php 
!@#$%^&*()_+:;<,>?/ 0590f162d8ddc79aa2a6839dfec2f906  This is not safe in a database query.
!@#$%^&*()_+:;<,>?/ 0590f162d8ddc79aa2a6839dfec2f906  This is safe in a database query.

 
附录3：php手册中关于魔术引号