总结3:PHP中的魔术引号

最新推荐文章于 2024-04-22 14:07:29 发布
最新推荐文章于 2024-04-22 14:07:29 发布
阅读量615 收藏 2
点赞数
分类专栏: PHP 文章标签: php 源码 魔术引号
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hyh1123176978/article/details/53893579
版权

阅读PHP框架源码时发现很多框架都对魔术引号做了兼容处理,总结如下:


1、魔术引号的作用是什么?

        魔术引号设计的初衷是为了让从数据库或文件中读取数据和从请求中接收参数时,对单引号、双引号、反斜线、NULL加上一个一个反斜线进行转义,这个的作用跟addslashes()的作用完全相同。


2、转义的作用?

        正确地接收和读取数据,从而正确地执行SQL语句,防止恶意的SQL注入。

        简单的SQL注入示例,假设有一个数据库user,我们要传一个参数查询某个用户的信息,我们会调用某个接口,传一个参数给接口,类似于http://域名/?c=xxx&a=xxx&user=xxx,现在我们想查询一个叫codeman的人的信息,那么user=codeman,后台接收到参数之后,执行类似于下面的SQL语句。

    SELECT * FROM `user` WHERE `user` = 'codeman';

        如果在接收数据时后台不进行转义,那么久可能让恶意的SQL注入攻击发生,假设我们现在传递一个user=codeman'or'1'='1,传到后台执行的SQL语句变成:

    SELECT * FROM `user` WHERE `user` = 'codeman' or '1' or '1';

        这时返回的数据不只是user=codeman的用户的数据了,而是整个表中的所有数据,你的用户数据就暴露给攻击者了。如果有对单引号、双引号、反斜线等特殊字符进行转义,则大大减少SQL攻击的可能性。


3、为什么在PHP5.4.0之后取消了魔术引号特性?

        既然魔术引号这么方便,为什么在PHP5.4.0及其之后PHP版本中被取消了呢?有以下几个原因:

(1)可移植性

        编程时认为其打开或并闭都会影响到移植性。可以用 get_magic_quotes_gpc() 来检查是否打开,并据此编程。 


(2)性能

        由于并不是每一段被转义的数据都要插入数据库的,如果所有进入 PHP 的数据都被转义的话,那么会对程序的执行效率产生一定的影响。在运行时调用转义函数(如 addslashes())更有效率。 尽管 php.ini-dist 默认打开了这个选项,但是 php.ini-recommended 默认却关闭了它,主要是出于性能的考虑。 


(3)方便


        由于不是所有数据都需要转义,在不需要转义的地方看到转义的数据就很烦。比如说通过表单发送邮件,结果看到一大堆的 '。针对这个问题,可以使用 stripslashes() 函数处理。 


4、php.ini相关配置

魔术引号配置选项 描述 运行时改变 PHP中的默认值
magic_quotes_gpc

如果打开的话,影响 到 HTTP 请求数据(GET,POST 和 COOKIE)。

 no on
magic_quotes_runtime 如果打开的话,大部 份从外部来源取得数据并返回的函数,包括从数据库和文本文件,所返回的数据都会被反斜线转义。(前提是magic_quotes_gpc = On no off
magic_quotes_g

当关闭时,所有的 (单引号),"(双引号),(反斜线)和 NULL 字符都会被自动加上一个反斜线进行转义。这和 addslashes() 作用完全相同。

如果打开的话,将会使用单引号对单引号进行转义而非反斜线。此选项会完全覆盖 magic_quotes_gpc。如果同时打开两个选项的话,单引号将会被转义成 。而双引号、反斜线 和 NULL 字符将不会进行转义。

(前提是magic_quotes_gpc = On)

 yes off

set_magic_quotes_runtime(),设置当前magic_quotes_runtime 配置选项的激活状态,0为关闭,1为开启。啥意思呢?这样理解,如是set_magic_quotes_runtime(1)或是配置文件中magic_quotes_runtime为true(这个在php.ini中配置),那么php脚本读取文件或是从数据库中读取数据,遇到反斜线(\)、单引号(')、双引号(")、NULL时,会在前面自动加上转义字符,变成\\、\'、\”、\NULL;若是关闭的话,也就是set_magic_quotes_runtime(0)magic_quotes_runtime为false,那么便会转义,此时可以借助addslashes进行转义。


magic_quotes_gpc(),当此值为1时,会对HTTP请求中的G($_GET)、P($_POST)、C($_COOKIE)单双引号和反斜线进行转义;反之则不会。该操作一般见于表单提交的数据库操作,若是值为0时,便用addslashes进行转义存入数据库中,取出时再用stripslashes函数把反斜线给去掉。

PS.在PHP 5.4版本时,魔术引号被移除了,因此转义都需要加上addslashes函数。



这里是华农人的编程社区,欢迎关注SCAU-码农之家!

scau-codeman
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP魔术引号所带来的安全问题分析
12-19
PHP通过提取魔术引号产生的“\”字符会带来一定的安全问题,例如下面这段代码片段: // foo.php?xigr='ryat\nfunction daddslashes($string, $force = 0) {\n!defined('MAGIC_QUOTES_GPC') && define('MAGIC_QUOTES_GPC', get_magic_quotes_gpc()); if(!MAGIC_QUOTES_GPC || $force) { if(is_array($string)) { foreach($string as $key => $val) { $string[$key]
编写不受魔术引号影响的php应用
cnbird's blog
07-22 1000
 原创作品author流水孟春,转载请注明出处lib.cublog.cn阅读前提:你必须看过php手册上的"第IV部分安全"的"第10章魔术引号"。如果没看过,也没问题,现在马上花10分钟先看一下php手册上的这东西。魔术引号(Magic Quote)是一个自动将进入 PHP 脚本的数据进行转义的过程你可能想让你的程序兼容多个数据库,但你使用的不同的数据库可能使用不同的转义符,而我们的程序
PHP开启magic扩展,php.iniMagic_Quotes_Gpc开关设置
weixin_32350433的博客
03-26 1262
Magic_Quotes_Gpc 解释magic_quotes_gpc作用范围是:WEB客户服务端;作用时间:请求开始时。magic_quotes_runtime 作用范围:从文件读取的数据或执行exec()的结果或是从SQL查询得到的;作用时间:每次当脚本访问运行状态产生的数据开关区别2.1对于PHP magic_quotes_gpc=on的情况, 我们可以不对输入和输出数据库的字...
【转】高级PHP应用程序漏洞审核技术
威尔软件
08-05 162
作者:Ph4nt0m Security Team 来源:http://www.ph4nt0m.org-a.googlepages.com/PSTZine_0x03_0x06.txt ==Ph4nt0m Security Team== Issue 0x03, Phile #0x06...
php魔术引号总结
molaifeng的专栏
01-28 3952
在一个魔术引号若是打开的话,所有的反斜线(\)、单引号(')、双引号(")、NULL 字符都会被自动加上一个反斜线进行转义,这和 addslashes() 作用完全相同。 这里主要讲四个与之相关的函数:set_magic_quotes_runtime、magic_quotes_gpc、addslashes、stripslashes。         set_magic_quote
PHP语言什么是魔术引号,什么是PHP魔术引号
weixin_42347634的博客
03-17 685
今天在读EcShop的源码发现里面有几个地方涉及到了PHP魔术引号,之前也碰到过都忽略过去了,再次碰到该深入的理解,虽然自PHP 5.3.0起魔术引号被废弃废弃并将自PHP 5.4.0起移除,但是了解魔术引号以后,在阅读一些PHP 5.3.0之前源码碰到了魔术引号阅读起来也很顺畅。什么是魔术引号魔术引号是程序自动将进入PHP脚本的数据进行转意的过程。当打开时,所有的'(单引号),"(双引号)...
不受魔术引号影响的PHP应用
11-13 1085
PHP之安全在于其默认配置php.ini-dist具备一个magic_quotes_gpc = On的东西,叫“魔术引号(Magic Quote)”,对PHP初学者很有用,“尽管SQL注入在魔术引号打开的情况下仍然有可能实现,但起码系统的风险减少很多了”(PHP手册)。但是对于 PHP代码的移植性却造成了影响,而且并不是每一个被魔术引号转义的数据都需要写入数据库,这样就对程序的执行效率造成了影响
PHP语言什么是魔术引号,php魔术引号得作用
weixin_42104906的博客
03-17 132
php魔术引号得作用发布时间:2020-11-12 14:06:59来源:亿速云阅读:77作者:小新这篇文章主要介绍php魔术引号得作用,文介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们一定要看完!什么是魔术引号魔术引号是程序自动将进入PHP脚本的数据进行转意的过程。当打开时,所有的 '(单引号),"(双引号),\(反斜线)和 NULL 字符都会被自动加上一个反斜线进行转义。和 ad...
php的“魔术引号”- magic quotes
到处是小雪的白色世界
12-24 453
PHP解析文件存入数据库时,到某一行突然程序就终止,也不报任何错误。根据经验,可能是文件某一行存在引号,果然文件存在如下行:   Co-localization.Huh-O'Shea-2003.txt   致数据库查询时出现如下形式的语句: INSERTINTO TABLE xxx (xxx,xxx,xxx) VALUES (‘dgdgd’,’fgh’fgh’,’
PHP魔术引号
weixin_43376075的博客
01-16 724
魔术引号 是一个自动将进入 PHP 脚本的数据进行转义的过程。此特性已自 PHP 5.3.0 起废弃并将自 PHP 5.4.0 起移除。
PHP 魔术引号
Peak Xin's Blog
06-20 755
一、什么是魔术引号 提醒: 本特性已自 PHP 5.3.0 起废弃并将自 PHP 5.4.0 起移除。 所以在5.4版本以后php配置文件是找不到魔术引号的配置信息的 当打开时,所有的 ‘(单引号),”(双引号),\(反斜线)和 NULL 字符都会被自动加上一个反斜线进行转义。这和 addslashes() 作用完全相同。一共有三个魔术引号指令:1、magic_quotes_gpc 影响到
PHP表单提交后引号前自动加反斜杠的原因及三种办法关闭php魔术引号
12-19
最近发现做一个php程序表单数据提交写入数据库的内容只要是带有单引号或者双引号的内容时,后面都会增加一个反斜杠。而且每保存一次增加一个反斜杠,很是郁闷。 于是从网上搜了一下原来是PHP程序为了防止注入或者...
PHP 5.4.40 Released 文手册
04-21
魔术引号 •隐藏 PHP •保持更新 •特点•用 PHP 进行 HTTP 认证 •Cookie •会话 •处理 XForms •文件上传处理 •使用远程文件 •连接处理 •数据库持久连接 •安全模式 •PHP 的命令行模式 •垃圾回收机制 •...
总结4 如何在自定义的框架使用PHP异常和错误机制
hyh1123176978的博客
12-28 3309
PHP的错误和异常,很多人只知道在框架怎么使用,框架封装这些东西的原理是怎么样的?设计时需要注意些什么?如何在自己写的PHP框架整合异常和错误?看完下面的内容后相信你能迎刃而解了! 一、异常处理的目的         从一个简单的例子说起,有一个网站,需要登录和注册的功能,假设处理这两个功能的类为Auth,则这个类应该有login()和register()的
总结2: PHP魔术方法及其应用场景
hyh1123176978的博客
11-11 1927
PHP有一类特别的系统方法,它们统一以__开头,使用语义清晰简单,这类形式特殊、作用特殊的方法被称为魔术方法。常见的魔术方法有__construct()、__destruct()、__call()、__callStatic()、__get()、__set()、__isset()、__unset()、__sleep()、__wakeup()、__toString()、__invoke()、__set
总结1:PHP的对象和类
hyh1123176978的博客
11-08 270
谈到高级语言程序设计,就必谈面向对象和类。编程经过了面向过程、面向函数、面向对象的三大发展历程,面向过程、面向函数、面向对象也因此被称为编程三大范式。为什么我们提倡面向对象?因为它让我们的代码更有效更清晰同时更容易扩展,C++和Java是面向对象最经典的两种语言,PHP不是一种纯粹的OOP语言,但随着时代潮流,新的标准也不断增加支持新的面向对象的特性。关于PHP的对象,让我们从一个实例说起:1
spdlog 日志库部分源码说明——让你可以自定义的指定自动切换日志时间
最新发布
ALex_zry的博客
04-22 458
针对 网络上spdlog日志库目前存在的使用方式固定,不能发挥这个库本身应有价值的情况,这里对一些支持场景进行说明,以供初学者省去阅读源码的时间,直接上手使用。
webman 事务回滚失效问题记录
juan9872的博客
04-21 612
webman是一款基于workerman开发的高性能HTTP服务框架。webman用于替代传统的php-fpm架构,提供超高性能可扩展的HTTP服务。你可以用webman开发网站,也可以开发HTTP接口或者微服务。除此之外,webman还支持自定义进程,可以做workerman能做的任何事情,例如websocket服务、物联网、游戏、TCP服务、UDP服务、unix socket服务等等。
phpinvoke魔术方法
05-29
PHP ,`__invoke` 是一个特殊的魔术方法,它可以使一个对象可以像函数一样被调用。当一个对象被调用时,如果这个对象实现了 `__invoke` 方法,那么 PHP 就会自动调用这个方法并传入相应的参数。例如: ```php class Foo { public function __invoke($arg) { echo $arg; } } $obj = new Foo(); $obj("Hello, world!"); // 输出 "Hello, world!" ``` 在这个例子,我们创建了一个 `Foo` 类,并在其实现了 `__invoke` 方法。然后我们创建了一个 `Foo` 类的实例 `$obj`,并将其作为函数调用,传入了一个参数 `"Hello, world!"`。由于 `$obj` 实现了 `__invoke` 方法,PHP 就会自动调用这个方法并将参数传递给它,最终输出了 `"Hello, world!"`。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值