get_magic_quotes_gpc
会将Get/Post/Cookie中所有的 ' (单引号), " (双引号), \ (反斜线) and 空字符加上反斜杠转义。
get_magic_quotes_runtime 设置为on的时候会将数据库中取出来的 ' (单引号), " (双引号), \ (反斜线)这些字符加上反斜杠转义。
get_magic_quotes_gpc并不能通过程序来关闭 ,get_magic_quotes_runtime可以通过程序来关闭,set_magic_quotes_runtime(0) 并不就是关闭了魔法引用, Get/Post/Cookie 中的数据还是会被转义的(如果gpc开着在的话),设置这个是取数据的时候强制关闭着,防止取出的时候被再次转义。
如果get_magic_quotes_gpc开着就不要在mysql_escape_string 或者mysql_real_escape_string或者 addslashes 了,防止多次转义,但是对于用户的输入转义是必须要使用的,无论你是addslashes还是 mysql_escape_string还是 get_magic_quotes_gpc自动处理甚至是使用str_replace或正则替换都行。但 一次就够了,
魔法引用,两个比较模糊的函数,下面通过具体程序来了解下:
get_magic_quotes_runtime 设置为on的时候会将数据库中取出来的 ' (单引号), " (双引号), \ (反斜线)这些字符加上反斜杠转义。
get_magic_quotes_gpc并不能通过程序来关闭 ,get_magic_quotes_runtime可以通过程序来关闭,set_magic_quotes_runtime(0) 并不就是关闭了魔法引用, Get/Post/Cookie 中的数据还是会被转义的(如果gpc开着在的话),设置这个是取数据的时候强制关闭着,防止取出的时候被再次转义。
如果get_magic_quotes_gpc开着就不要在mysql_escape_string 或者mysql_real_escape_string或者 addslashes 了,防止多次转义,但是对于用户的输入转义是必须要使用的,无论你是addslashes还是 mysql_escape_string还是 get_magic_quotes_gpc自动处理甚至是使用str_replace或正则替换都行。但 一次就够了,
魔法引用,两个比较模糊的函数,下面通过具体程序来了解下:
<?php /** * magic_quotes_runtime()默认关着在 * 这里可以调用函数打开 */ set_magic_quotes_runtime(1); $conn = mysql_connect('localhost','root','123456'); mysql_select_db('test'); //浏览器带参数 输入 a'm /** * 关着gpc则没有转义 开着gpc则转义 * 当然可以手动判断 get_magic_quotes_gpc() 然后判断是否要手动 addslashes() * 因为写入到数据库的时候单引号反斜杠等是需要转义的 */ $a = $_GET['a']; //关闭gpc输出a'm 开着gpc输出 a\'m echo $a; /** * 在转一次 关着gpc则将a'm中单引号转义 * 开着gpc则将此时a\'m 单引号 反斜杠都要转一次 */ $a = mysql_escape_string($a); //关闭gpc输出a\'m 开着gpc输出 a\\\'m 也就是在上面的基础上重新手动转换了一次 echo $a; mysql_query("insert into test (`content`) values ('$a')") or die(mysql_error()); /** * 关着gpc 不执行mysql_escape_string转义是写不进数据库的 * 关着gpc 执行mysql_escape_string后正常写入到数据库 数据库中为 a'm * 开着gpc 不执行mysql_escape_string正常写入到数据库 数据库中为 a'm * 开着gpc 再执行mysql_escape_string后数据库中为 a\'m */ $query = mysql_query("select * from test ",$conn); while ($row = mysql_fetch_assoc($query)) { /** * 如果set_magic_quotes_runtime(1)的话会将取出的数据再次转义一次 * 也就是a'm 会输出 a\'m a\'m 会输出a\\\'m * 如果set_magic_quotes_runtime(0) 则不会再次转义 数据库中是什么就输出什么 */ var_dump("<pre>",$row); } ?>