PHP 中get_magic_quotes_gpc()函数说明

最新推荐文章于 2024-09-06 17:38:27 发布
最新推荐文章于 2024-09-06 17:38:27 发布
阅读量573 收藏
点赞数
分类专栏: PHP 文章标签: php get_magic_quotes_gpc()
原文链接:https://blog.csdn.net/xiaoxinshuaiga/article/details/80208427
版权
get_magic_quotes_gpc函数是一个用来判断是否为用户提供的数据增加斜线了,这个在php.ini配置文件中哦,本文将介绍一下get_magic_quotes_gpc()函数说明。

get_magic_quotes_gpc函数介绍

取得 PHP 环境变数 magic_quotes_gpc 的值,属于 PHP 系统功能。

语法: long get_magic_quotes_gpc(void);

返回值: 长整数

本函数取得 PHP 环境配置的变量 magic_quotes_gpc (GPC, Get/Post/Cookie) 值。返回 0 表示关闭本功能;返回 1 表示本功能打开。

当 magic_quotes_gpc 打开时,所有的 ‘ (单引号), ” (双引号), (反斜线) and 空字符会自动转为含有反斜线的溢出字符。

magic_quotes_gpc设置是否自动为GPC(get,post,cookie)传来的数据中的'”加上反斜线。可以用get_magic_quotes_gpc()检测系统设置。

如果没有打开这项设置,可以使用addslashes()函数添加,它的功能就是给数据库查询语句等的需要在某些字符前加上了反斜线。

这些字符是单引号(')、双引号(”)、反斜线()与 NUL(NULL 字符)。

默认情况下,PHP 指令 magic_quotes_gpc 为 on,它主要是对所有的 GET、POST 和 COOKIE 数据自动运行 addslashes()。

不要对已经被 magic_quotes_gpc 转义过的字符串使用 addslashes(),因为这样会导致双层转义。遇到这种情况时可以使用函数 get_magic_quotes_gpc() 进行检测。

利用 get_magic_quotes_gpc()预防数据库攻击的正确做法

代码如下


    
    
  1. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        <?php
       
       
    
      
      
  2. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        function check_input($value)
       
       
    
      
      
  3. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        {
       
       
    
      
      
  4. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        // 去除斜杠
       
       
    
      
      
  5. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        if (get_magic_quotes_gpc())
       
       
    
      
      
  6. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        {
       
       
    
      
      
  7. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        $value = stripslashes($value);
       
       
    
      
      
  8. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        }
       
       
    
      
      
  9. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        // 如果不是数字则加引号
       
       
    
      
      
  10. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        if (!is_numeric($value))
       
       
    
      
      
  11. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        {
       
       
    
      
      
  12. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        $value = “‘” . mysql_real_escape_string($value) . “‘”;
       
       
    
      
      
  13. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        }
       
       
    
      
      
  14. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        return $value;
       
       
    
      
      
  15. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        }
       
       
    
      
      
  16. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        $con = mysql_connect(“localhost”, “hello”, “
        
        321″);
       
       
    
      
      
  17. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        if (!$con)
       
       
    
      
      
  18. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        {
       
       
    
      
      
  19. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        die(‘Could not connect: ‘ . mysql_error());
       
       
    
      
      
  20. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        }
       
       
    
      
      
  21. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        // 进行安全的 SQL
       
       
    
      
      
  22. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        $user = check_input($_POST[
        
        'user']);
       
       
    
      
      
  23. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        $pwd = check_input($_POST[
        
        'pwd']);
       
       
    
      
      
  24. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        $sql = “SELECT * FROM users WHERE
       
       
    
      
      
  25. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        user=$user 
        
        AND password=$pwd”;
       
       
    
      
      
  26. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        mysql_query($sql);
       
       
    
      
      
  27. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        mysql_close($con);
       
       
    
      
      
  28. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        ?>

总结如下:

1. 对于magic_quotes_gpc=on的情况,

我们可以不对输入和输出数据库的字符串数据作

addslashes()和stripslashes()的操作,数据也会正常显示。

如果此时你对输入的数据作了addslashes()处理,

那么在输出的时候就必须使用stripslashes()去掉多余的反斜杠。

2. 对于magic_quotes_gpc=off 的情况

必须使用addslashes()对输入数据进行处理,但并不需要使用stripslashes()格式化输出

因为addslashes()并未将反斜杠一起写入数据库,只是帮助mysql完成了sql语句的执行

以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,同时也希望多多支持脚本之家!

PHP开启magic扩展,php.ini中Magic_Quotes_Gpc开关设置
weixin_32350433的博客
03-26 1399
Magic_Quotes_Gpc 解释magic_quotes_gpc作用范围是:WEB客户服务端;作用时间:请求开始时。magic_quotes_runtime 作用范围:从文件中读取的数据或执行exec()的结果或是从SQL查询中得到的;作用时间:每次当脚本访问运行状态中产生的数据开关区别2.1对于PHP magic_quotes_gpc=on的情况, 我们可以不对输入和输出数据库的字...
phpget_magic_quotes_gpc()函数说明
10-20
get_magic_quotes_gpc函数是一个用来判断是否为用户提供的数据增加斜线了,这个在php.ini配置文件中哦,本文将介绍一下get_magic_quotes_gpc()函数说明。下面跟着小编一起来看下吧
get_magic_quotes_gpc函数
weixin_34232363的博客
03-21 459
magic_quotes_gpc函数php中的作用是判断解析用户提示的数据,如包括有:post、get、cookie过来的数据增加转义字符“\”,以确保这些数据不会引起程序,特别是数据库语句因为特殊字符引起的污染而出现致命的错误   在magic_quotes_gpc=On的情况下,如果输入的数据有 单引号(’)、双引号(”)、反斜线()与 NUL(NULL 字符)等字符都会被加上反斜线。...
get_magic_quotes_gpc 用法
Alex_Best
06-29 1647
<br />在PHPget_magic_quotes_gpc()函数是内置的函数,这个函数的作用就是得到php.ini设置中magic_quotes_gpc选项的值。<br />那么就先说一下magic_quotes_gpc选项:<br />如果magic_quotes_gpc=On,PHP解析器就会自动为post、get、cookie过来的数据增加转义字符“/”,以确保这些数据不会引起程序,特别是数据库语句因为特殊字符引起的污染而出现致命的错误。如果输入的数据有单引号(’)、双引号(”)、反斜线(/)与
get_magic_quotes_gpc()
rongwenbin的专栏
08-07 877
PHP函数补完:get_magic_quotes_gpc() 判断PHP有没有自动调用addslashes 试试阅读模式?希望听取您的建议 get_magic_quotes_gpc 取得 PHP 环境变数 magic_quotes_gpc 的值,属于 PHP 系统功能。 语法: long get_magic_quotes_gpc(void); 返回值: 长整数 这个函数做什么的?
基于magic_quotes_gpcmagic_quotes_runtime的区别与使用介绍
10-27
magic_quotes_gpcPHP中用于自动转义GET、POST和COOKIE数据的一个选项。当magic_quotes_gpc设置为on时,PHP会自动对所有从客户端获取的数据执行addslashes()函数,即在单引号(')、双引号(")、反斜线(\)前添加反斜线...
基于PHP magic_quotes_gpc的使用方法详解
10-27
例如,PHP中的preg_split函数用于通过正则表达式分割字符串,explode()函数则用于按指定字符分割字符串,而implode()函数的作用与explode()相反,它用于将数组元素合并为一个字符串。这三个函数在处理字符串时非常...
get_magic_quotes_gpc() 你到底是做什么的?
weixin_30315905的博客
05-05 236
php的配置文件中,有个布尔值的设置,就是magic_quotes_runtime,当它打开时, php的大部分函数自动的给从外部引入的(包括数据库或者文件)数据中的溢出字符加上反 斜线。 当然如果重复给溢出字符加反斜线,那么字符串中就会有多个反斜线,所以这时 就要用set_magic_quotes_runtime()get_magic_quotes_runtime()设置和检测php....
PHPget_magic_quotes_gpc()函数是内置的函数,这个函数的作用就是得到php.ini设置中magic_quotes_gpc选项的值。
youcijibi的博客
09-23 1204
PHPget_magic_quotes_gpc()函数是内置的函数,这个函数的作用就是得到php.ini设置中magic_quotes_gpc选项的值。 那么就先说一下magic_quotes_gpc选项: 如果magic_quotes_gpc=On,PHP解析器就会自动为post、get、cookie过来的数据增加转义字符“\”,以确保这些数据不会引起程序,特别是数据库语句因为特
PHP get_magic_quotes_gpc 函数
XD371452690的博客
11-19 156
get_magic_quotes_gpc 取得 PHP 环境变数 magic_quotes_gpc 的值。 语法: long get_magic_quotes_gpc(void); 传回值: 长整数。 函式种类: PHP 系统功能 内容说明: 本函式取得 PHP 环境设定的变数 magic_quotes_gpc (GPC, Get/Post/Cookie) 值。传回 0 表...
php函数get_magic_quotes_gpc
weixin_33722405的博客
01-09 179
php函数get_magic_quotes_gpc 介绍: <?php//Ifmagicquotesareenabledecho$_POST['lastname'];//O\'reillyechoaddslashes($_POST['lastname']);//O\\\'reilly//Usageac...
php gpc函数,php函数get_magic_quotes_gpc
weixin_39817012的博客
03-20 204
先来看一个函数:string addslashes ( string str )对于这个函数大家可以查手册,有详细的中文说明。接下来介绍下面这个函数.int get_magic_quotes_gpc ( void )手册中string addslashes ( string str )介绍的时候有这样一句话说明get_magic_quotes_gpc的用法以及作用。默认情况下,PHP 指令 ma...
php get_mogic_quotes_gpc()
beaster1的博客
09-06 294
主要功能是得到magic_quotes_gpc的值(打印不出来但是**!magic_quotes_gpc()**的结果为1):PHP 指令 magic_quotes_gpc 为 on,对所有的 GET、POST 和 COOKIE 数据自动运行。
php函数get_magic_quotes_gpc详解
kuaixichy的专栏
12-01 891
set_magic_quotes_runtime是用来设置PHP 环境配置的变量 magic_quotes_runtime 值。 0-关闭 1-打开程序中检测状态用get_magic_quotes_runtime,返回 0 表示关闭本功能;返回 1 表示本功能打开。若magic_quotes_runtime 打开时,所有外部引入的数据库资料或者文件等等都会自动转为
phpget_magic_quotes_gpc()用法
小迷童
10-08 1608
get_magic_quotes_gpc()    php.ini里面magic_quotes_gpc是默认为off的。   也就是说要为了安全起见应该设为on。     而且设为on的话,post   get   和cookie传来的string值就可以直接用于sql语句,而不需要用addslashes再添加转义符了。 一个很好的函数,希望对大家有所帮助 function rA
get_magic_quotes_gpc 替换
最新发布
01-17
### 替代 `get_magic_quotes_gpc` 函数的方法 由于 PHP 5.4 版本之后已移除了 `magic_quotes_gpc` 配置项以及相应的检测函数 `get_magic_quotes_gpc()`,开发者需要采用其他方式来处理输入数据的安全性问题。最佳实践中推荐使用预处理语句和手动转义机制。 #### 使用 PDO 进行 SQL 查询防护 PDO 提供了一种安全的方式来执行数据库查询,通过绑定参数可以有效防止SQL注入攻击: ```php <?php $pdo = new PDO('mysql:host=localhost;dbname=test', 'username', 'password'); $stmt = $pdo->prepare('SELECT * FROM users WHERE username = :username AND password = :password'); $stmt->execute([':username' => $_POST['username'], ':password' => hash('sha256', $_POST['password'])]); $user = $stmt->fetch(); ?> ``` 此代码片段展示了如何利用 PDO 来准备并执行带有占位符的 SQL 语句[^1]。 #### 手动调用 `addslashes` 或者 `mysqli_real_escape_string` 对于那些仍然依赖于字符串拼接构建 SQL 语句的应用程序来说,在插入到数据库之前应该显式地对特殊字符进行转义操作: ```php <?php // 假设连接对象为 $conn $safe_username = mysqli_real_escape_string($conn, $_POST["username"]); $query = "INSERT INTO table (column) VALUES ('$safe_username')"; ?> ``` 这种方法虽然简单直接,但在现代开发中并不提倡,因为容易遗漏某些地方而造成安全隐患;相比之下,优先考虑使用预处理语句更为可靠[^2]。 #### 对外部输入统一过滤 为了保持一致性并且简化逻辑,可以在接收请求后的第一时间就对外部传入的数据做一次全面清理,比如去除多余的空白、转换HTML实体等: ```php function sanitize_input($data){ $data = trim($data); $data = stripslashes($data); // 如果 magic_quotes_gpc 被开启,则先去掉多余反斜杠 $data = htmlspecialchars($data); return $data; } $_GET = array_map('sanitize_input', $_GET ); $_POST = array_map('sanitize_input', $_POST); $_COOKIE = array_map('sanitize_input', $_COOKIE); ``` 这段代码实现了对所有来自客户端提交的信息进行了初步净化处理,确保后续业务逻辑不会受到恶意构造的影响[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值