php magic_quotes_gpc的一点认识与分析

最新推荐文章于 2024-07-22 16:42:40 发布
最新推荐文章于 2024-07-22 16:42:40 发布
阅读量496 收藏
点赞数
文章标签: php 数据库 sun sql mysql 脚本

代码
1. 
条件: magic_quotes_gpc=off 
写入数据库的字符串未经过任何过滤处理。从数据库读出的字符串也未作任何处理。 

数据:  $data="snow''''sun" ; (snowsun之间是四个连续的单引号). 

操作: 将字符串:"snow''''sun" 写入数据库, 

结果: 出现sql语句错误,mysql不能顺利完成sql语句,写入数据库失败。 

数据库保存格式:无数据。 

输出数据格式:无数据。 

说明: 对于未经处理的单引号在写入数据库时会使sql语句发生错误。 

代码
2. 
条件: magic_quotes_gpc=off 
写入数据库的字符串经过函数addslashes()处理。从数据库读出的字符串未作任何处理。 

数据:  $data="snow''''sun" ; (snowsun之间是四个连续的单引号). 

操作: 将字符串:"snow''''sun" 写入数据库, 

结果: sql语句顺利执行,数据成功写入数据库 

数据库保存格式:snow''''sun (和输入一样

输出数据格式:snow''''sun (和输入一样

说明: addslashes()函数将单引号转换为/'的转义字符使sql语句成功执行, 
/'并未作为数据存入数据库,数据库保存的是snow''''sun 而并不是我们想象的snow/'/'/'/'sun 

代码
3. 
条件: magic_quotes_gpc=on 
写入数据库的字符串未经过任何处理。从数据库读出的字符串未作任何处理。 

数据:  $data="snow''''sun" ; (snowsun之间是四个连续的单引号). 

操作: 将字符串:"snow''''sun" 写入数据库, 

结果: sql语句顺利执行,数据成功写入数据库 

数据库保存格式:snow''''sun (和输入一样

输出数据格式:snow''''sun (和输入一样

说明: magic_quotes_gpc=on 将单引号转换为/'的转义字符使sql语句成功执行, 
/'并未作为数据入数据库,数据库保存的是snow''''sun而并不是我们想象的snow/'/'/'/'sun 

代码
4. 
条件: magic_quotes_gpc=on 
写入数据库的字符串经过函数addlashes()处理。从数据库读出的字符串未作任何处理。 

数据:  $data="snow''''sun" ; (snowsun之间是四个连续的单引号). 

操作: 将字符串:"snow''''sun" 写入数据库, 

结果: sql语句顺利执行,数据成功写入数据库 

数据库保存格式:snow/'/'/'/'sun (添加了转义字符

输出数据格式:snow/'/'/'/'sun (添加了转义字符

说明: magic_quotes_gpc=on 将单引号转换为/'的转义字符使sql语句成功执行, 
addslashes又将即将写入数据库的单引号转换为/',后者的转换被作为数据写入 
数据库,数据库保存的是snow/'/'/'/'sun 
总结如下: 

1. 对于magic_quotes_gpc=on的情况, 

我们可以不对输入和输出数据库的字符串数据作 
addslashes()stripslashes()的操作,数据也会正常显示。 

如果此时你对输入的数据作了addslashes()处理, 
那么在输出的时候就必须使用stripslashes()去掉多余的反斜杠。 

2. 对于magic_quotes_gpc=off 的情况 

必须使用addslashes()对输入数据进行处理,但并不需要使用stripslashes()格式化输出 
因为addslashes()并未将反斜杠一起写入数据库,只是帮助mysql完成了sql语句的执行。 

补充: 

magic_quotes_gpc 作用范围是:WEB客户服务端;作用时间:请求开始时,例如当脚本运行时. 
magic_quotes_runtime 作用范围:从文件中读取的数据或执行exec()的结果或是从SQL查询中得到的;作用时间:每次当脚本访问运行状态中产生的数据

Iamtheodore
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
get_magic_quotes_gpc php,php get_magic_quotes_gpc()函数使用说明
weixin_39552874的博客
03-09 201
get_magic_quotes_gpc函数是一个用来判断是否为用户提供的数据增加斜线了,这个在php.ini配置文件中哦,本文将介绍一下get_magic_quotes_gpc()函数说明。下面跟着小编一起来看下吧get_magic_quotes_gpc函数是一个用来判断是否为用户提供的数据增加斜线了,这个在php.ini配置文件中哦,下面我来介绍一下get_magic_quotes_gpc()...
get_magic_quotes_gpc php,php中get_magic_quotes_gpc()函数说明
weixin_35779506的博客
03-09 265
get_magic_quotes_gpc函数是一个用来判断是否为用户提供的数据增加斜线了,这个在php.ini配置文件中哦,下面我来介绍一下get_magic_quotes_gpc()函数说明.get_magic_quotes_gpc函数介绍取得 PHP 环境变数 magic_quotes_gpc 的值,属于 PHP 系统功能。语法: long get_magic_quotes_gpc(void)...
php magic_quotes_gpc 配置,PHP5,6,7版本中如何使用magic_quotes_gpc转义数据保证安全
weixin_30869777的博客
03-18 314
PHP5版本有这样一个函数,magic_quotes_gpc函数,作用是在php中的判断解析用户提示的数据,如包括有:post、get、cookie过来的数据增加转义字符“\”,以保证这些数据不会引起程序,特别是数据库语句因为特殊字符引起的污染而出现致命的错误。可是在PHP6和PHP7中已经取消了这个函数,这时候我们需要自己定义一个函数来保证数据是否需要转义。functionquotes_gp...
php.ini magic_quotes_gpc,PHP.ini之magic_quotes_gpc
weixin_31822733的博客
03-25 159
substr()函数在 php manual 中这么给出的:string substr ( string $string, int $start [, int $length] )Returns the portion of string specified by the 'start' and 'length' parameters.用起来很方便也很强大:将字符串 string 的第 start...
magic_quotes_gpc php,PHP5,6,7版本中如何使用magic_quotes_gpc转义数据保证安全
weixin_39996141的博客
03-13 262
PHP5版本有这样一个函数,magic_quotes_gpc函数,作用是在php中的判断解析用户提示的数据,如包括有:post、get、cookie过来的数据增加转义字符“\”,以保证这些数据不会引起程序,特别是数据库语句因为特殊字符引起的污染而出现致命的错误。可是在PHP6和PHP7中已经取消了这个函数,这时候我们需要自己定义一个函数来保证数据是否需要转义。functionquotes_gp...
php中get_magic_quotes_gpc()函数说明
12-18
PHP编程语言中,`get_magic_quotes_gpc()`是一个非常重要的函数,主要用于处理用户通过GET、POST或COOKIE方式提交的数据。这个函数的核心作用是检查PHP的配置选项`magic_quotes_gpc`的状态,该选项决定了PHP是否会...
基于PHP magic_quotes_gpc的使用方法详解
10-27
本篇文章是对PHPmagic_quotes_gpc的使用方法进行了详细的分析介绍,需要的朋友参考下
phpmagic_quotes_gpc对unserialize的影响分析
10-25
主要介绍了phpmagic_quotes_gpc对unserialize的影响,以实例的形式分析magic_quotes_gpc安全过滤对unserialize造成的影响以及对此的解决方法,非常具有实用价值,需要的朋友可以参考下
BUUCTF [WUSTCTF2020]朴实无华
最新发布
weixin_73399382的博客
07-22 252
第一块就是intval函数的绕过,逻辑上是不存在小于2020又大于2021的数,但是php低版本好像是7点多和以下该函数对不同类型的数据处理有偏差,第二处则是md5函数绕过,
【Docker】Docker-compose 单机容器集群编排工具
F12138X的博客
07-18 1582
顽强的毅力可以征服世界上任何一座高峰
PHP项目开发流程概述
api77的博客
07-19 521
需求分析是项目开发的起始点,主要目的是明确项目的目标、功能需求、用户群体等。这一阶段通常通过用户访谈、市场调研、竞品分析等方式进行。
深入理解Linux网络(一):内核如何接收网络包
又见南风的博客
07-18 887
在上⾯的代码中跟踪函数调⽤, __igb_open => igb_request_irq => igb_request_msix , 在 igb_request_msix 中我们看到了,对于多队列的⽹卡,为每⼀个队列都注册了中断,其对应的中断处理函数是 igb_msix_ring(该函数也在 drivers/net/ethernet/intel/igb/igb_main.c 下)。如协议注册⼩节看到 inet_protos 中保存着 tcp_v4_rcv() 和 udp_rcv() 的函数地址。
Ubuntu 查询未更新的包 进行手动更新
小婷
07-19 183
lsb_release -a 查询ubuntu的版本号,我这边是20.04。apt list --upgradable 查询未更新的包。中间遇到输入选择,输入y即可。
[web]-反序列化-绕过__wakeup(转)
mails2008的专栏
07-18 391
终点:很直接是echo $flag,在__destruct中,username==='admin' 和 password==100。反序列化过程中发现起点在终点之前调用,反而是捣乱的,那我们就不需要自动执行__wakeup,绕过的方法,设置的字段数量比实际字段大的值。其实简单的很简单,难得也很难,慢慢学习就好,没必要焦虑,觉得很难,纯粹一个兴趣爱好就行。起点:_wakeup函数中是$this->username='guest',是给赋值;按照常规思路,寻找起点、终点、跳板。
Linux(CentOS7)部署PHP-7.2.17源码包
thetender的博客
07-18 1111
LAMP系统安装 通过PHP的源码包部署PHP-7.2.17版本
LNMP环境配置问题整理
weixin_71113035的博客
07-18 354
LNMP环境配置问题整理
PHP房产中介租房卖房平台微信小程序系统源码
2401_84413757的博客
07-18 470
还在为租房卖房烦恼吗?快来试试这款房产中介租房卖房平台小程序吧!它将以全新的方式,重新定义你的置业体验,让你的生活更加美好!🎈。
高性能内存对象缓存Memcached
zheshijiuyue的博客
07-22 959
Memcached的基本概念,进行Memcached相关部署,主主复制,高可用配置。
magic_quotes_gpc
05-01
magic_quotes_gpc是一个在旧版本的PHP中存在的特性,它用于自动转义通过GET、POST和COOKIE方式传递的数据。它的作用是为了防止SQL注入和其他安全漏洞。 当magic_quotes_gpc开启时,PHP会自动对传递的数据进行转义,将特殊字符添加反斜杠。这样可以确保数据在存储到数据库或者输出到页面时不会引起意外的问题。 然而,由于magic_quotes_gpc的设计存在一些问题,因此在PHP 5.4.0版本中被废弃,并在PHP 5.4.0之后的版本中移除。这是因为它可能导致数据处理不一致,而且在新版本的PHP中已经有更好的安全机制来处理输入数据。 如果你在使用较新版本的PHPmagic_quotes_gpc应该是默认关闭的。如果你需要使用类似的功能来确保数据安全,建议使用更现代化的方法,比如使用预处理语句或者转义函数来处理输入数据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值