说明:
php手册中关于magic quotes,常见的有如下三个设置:magic_quotes_gpc,magic_quotes_sybase,magic_quote_runtime。这几个参数都是在php.ini中配置的,从手册中可以看出从php5.3起已经废除这些特性,5.4及以后版本已经直接删除了这些特性。所以强烈建议php5.3及其以下版本不要使用magic quotes,在php.ini中关闭它。
; Magic quotes for incoming GET/POST/Cookie data. magic_quotes_gpc = Off ; Magic quotes for runtime-generated data, e.g. data from SQL, from exec(), etc. magic_quotes_runtime = Off ; Use Sybase-style magic quotes (escape ' with '' instead of \'). magic_quotes_sybase = Off
这些参数的作用是对数据进行转义。因此防止sql注入时很多人会这样写:
if(!get_magic_quotes_gpc()){ $post=addslashes($post); }
这样就会对post获得的数据进行转义(如’转换成\’,如“转换面\”)
具体:
如果开启了它们,会自动给你转义单引号(’)、双引号(”)、反斜线(\)与 NUL(null字符),其实就相当于调用addslashes函数。你可能会说这样不是很好嘛,安全性更高了,但是,你考虑代码移植性了吗?另外,对于上所有gpc($_GET,$_POST,$_COOKIE)的数据你都进行转义是否有必要?开销有多大?下面就对手册中关于Magic Quotes的详细说明:
1.magic_quotes_gpc
magic_quotes_gpc这个是用来设置GPC($_GET、$_POST、$_COOKIE)的魔术引用状态(在PHP4中也包含$_ENV)。当开启时,所有的单引号(single-quote),双引号(double quote),反斜线(backslash)和NUL’s会被反斜线自动转义。当开启magic_quote_sybase为on时,只有单引号(singgle-quote)会被单引号转义为”,双引号、反斜线(backslash)和NUL’s不受影响不会被转义。
2.magic_quote_runtime
magic_quote_runtime如果开启该选项,许多返回外部数据(数据库、文本)的函数将会被反斜线(backslash)转义。如果也开启magic_quote_sybase,则只有单引号(single-quote)会被单引号转义。
3.magic_quotes_sybase
magic_quotes_sybase如果设置此选项开启、在magic_quotes_gpc,magic_quotes_runtime开启的情况下单引号‘会被单引号’转移而不是被反斜线\转义。同时、此设置会完全覆盖magic_quotes_gpc的设置,即使magic_quotes_gpc被设置为on,双引号“、反斜线\和NUL’s也不会被转义。
附录:
附录1.addslashes()函数效果
# cat t.php "; echo addslashes($str) . " This is safe in a database query."; ?> # php t.php Who's John Adams? This is not safe in a database query. Who\'s John Adams? This is safe in a database query.
可以看到添加了addslashes()函数后’被转义了
附录2: 试了下,发现就会对’ ” \进行转义,其它的如str定义的都没有被转义掉
# cat t.php ?/"; echo $str ." ". md5($str) ." " . " This is not safe in a database query.\n"; echo addslashes($str) ." ". md5(addslashes($str)) ." ". " This is safe in a database query.\n"; ?> # php t.php !@#$%^&*()_+:;<,>?/ 0590f162d8ddc79aa2a6839dfec2f906 This is not safe in a database query. !@#$%^&*()_+:;<,>?/ 0590f162d8ddc79aa2a6839dfec2f906 This is safe in a database query.
附录3:php手册中关于魔术引号