最新消息:其实接手服务器,最最最重要的还是要看下数据库、文件备份情况!!!非常重要!!!

PHP关于magic quotes的理解

application shang 1505浏览 0评论

说明:
php手册中关于magic quotes,常见的有如下三个设置:magic_quotes_gpc,magic_quotes_sybase,magic_quote_runtime。这几个参数都是在php.ini中配置的,从手册中可以看出从php5.3起已经废除这些特性,5.4及以后版本已经直接删除了这些特性。所以强烈建议php5.3及其以下版本不要使用magic quotes,在php.ini中关闭它。

; Magic quotes for incoming GET/POST/Cookie data.
magic_quotes_gpc = Off

; Magic quotes for runtime-generated data, e.g. data from SQL, from exec(), etc.
magic_quotes_runtime = Off

; Use Sybase-style magic quotes (escape ' with '' instead of \').
magic_quotes_sybase = Off

 
这些参数的作用是对数据进行转义。因此防止sql注入时很多人会这样写:

if(!get_magic_quotes_gpc()){
    $post=addslashes($post);
}

这样就会对post获得的数据进行转义(如’转换成\’,如“转换面\”)
 
具体:
如果开启了它们,会自动给你转义单引号(’)、双引号(”)、反斜线(\)与 NUL(null字符),其实就相当于调用addslashes函数。你可能会说这样不是很好嘛,安全性更高了,但是,你考虑代码移植性了吗?另外,对于上所有gpc($_GET,$_POST,$_COOKIE)的数据你都进行转义是否有必要?开销有多大?下面就对手册中关于Magic Quotes的详细说明:

1.magic_quotes_gpc
magic_quotes_gpc这个是用来设置GPC($_GET、$_POST、$_COOKIE)的魔术引用状态(在PHP4中也包含$_ENV)。当开启时,所有的单引号(single-quote),双引号(double quote),反斜线(backslash)和NUL’s会被反斜线自动转义。当开启magic_quote_sybase为on时,只有单引号(singgle-quote)会被单引号转义为”,双引号、反斜线(backslash)和NUL’s不受影响不会被转义。
2

2.magic_quote_runtime
magic_quote_runtime如果开启该选项,许多返回外部数据(数据库、文本)的函数将会被反斜线(backslash)转义。如果也开启magic_quote_sybase,则只有单引号(single-quote)会被单引号转义。
3

3.magic_quotes_sybase
magic_quotes_sybase如果设置此选项开启、在magic_quotes_gpc,magic_quotes_runtime开启的情况下单引号‘会被单引号’转移而不是被反斜线\转义。同时、此设置会完全覆盖magic_quotes_gpc的设置,即使magic_quotes_gpc被设置为on,双引号“、反斜线\和NUL’s也不会被转义。
4

附录:
附录1.addslashes()函数效果

# cat t.php
<?php
$str = "Who's John Adams?";
echo $str . " This is not safe in a database query.<br />";
echo addslashes($str) . " This is safe in a database query.";
?>

# php t.php 
Who's John Adams? This is not safe in a database query.
Who\'s John Adams? This is safe in a database query.

可以看到添加了addslashes()函数后’被转义了

附录2: 试了下,发现就会对’ ” \进行转义,其它的如str定义的都没有被转义掉

# cat t.php 
<?php
$str = "!@#$%^&*()_+:;<,>?/";
echo $str ." ". md5($str) ." " . " This is not safe in a database query.\n";
echo addslashes($str) ." ". md5(addslashes($str)) ." ". " This is safe in a database query.\n";
?>

# php t.php 
!@#$%^&*()_+:;<,>?/ 0590f162d8ddc79aa2a6839dfec2f906  This is not safe in a database query.
!@#$%^&*()_+:;<,>?/ 0590f162d8ddc79aa2a6839dfec2f906  This is safe in a database query.

 
附录3:php手册中关于魔术引号

转载请注明:酷喃|coolnull| » PHP关于magic quotes的理解

发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址