php get_magic_quotes_gpc()函数用法介绍
[导读] magic_quotes_gpc函数在php中的作用是判断解析用户提示的数据,如包括有:post、get、cookie过来的数据增加转义字符“ ”,以确保这些数据不会引起程序,特别是数据库语句因为特殊字符引起的污染而出现致命的错误
在magic_quotes_gpc=On的情况下,如果输入的数据有
单引号(’)、双引号(”)、反斜线()与 NUL(NULL 字符)等字符都会被加上反斜线。这些转义是必须的,如果这个选项为off,那么我们就必须调用addslashes这个函数来为字符串增加转义。
正是因为这个选项必须为On,但是又让用户进行配置的矛盾,在PHP6中删除了这个选项,一切的编程都需要在magic_quotes_gpc=Off下进行了。在这样的环境下如果不对用户的数据进行转义,后果不仅仅是程序错误而已了。同样的会引起数据库被注入攻击的危险。所以从现在开始大家都不要再依赖这个设置为On了,以免有一天你的服务器需要更新到PHP6而导致你的程序不能正常工作。
代码如下 | 复制代码 |
当magic_quotes_gpc=On的时候,函数get_magic_quotes_gpc()就会返回1 当magic_quotes_gpc=Off的时候,函数get_magic_quotes_gpc()就会返回0 |
因此可以看出这个get_magic_quotes_gpc()函数的作用就是得到环境变量magic_quotes_gpc的值。既然在PHP6中删除了magic_quotes_gpc这个选项,那么在PHP6中这个函数我想也已经不复存在了。
php 判断是否开启get_magic_quotes_gpc功能了,以方便我们是否决定使用addslashes这个函数了。
代码如下 | 复制代码 |
function SQLString($c, $t){ |
预防数据库攻击的正确做法
代码如下 | 复制代码 |
function check_input($value) { // 去除斜杠 if (get_magic_quotes_gpc()) { $value = stripslashes($value); } // 如果不是数字则加引号 if (!is_numeric($value)) { $value = “‘” . mysql_real_escape_string($value) . “‘”; } return $value; } $con = mysql_connect(“localhost”, “hello”, “321″); if (!$con) { die(‘Could not connect: ‘ . mysql_error()); } // 进行安全的 SQL $user = check_input($_POST['user']); $pwd = check_input($_POST['pwd']); $sql = “SELECT * FROM users WHERE user=$user AND password=$pwd”; mysql_query($sql); mysql_close($con); ?> |
PHP stripslashes() 函数
实例
删除反斜杠:
<?php echo stripslashes("Who\'s Bill Gates?"); ?>
语法
stripslashes(string)
参数 | 描述 |
---|---|
string | 必需。规定要检查的字符串。 |
技术细节
返回值: | 返回已剥离反斜杠的字符串。 |
PHP 版本: | 4+ |
PHP str_replace() 函数
实例
把字符串 "Hello world!" 中的字符 "world" 替换为 "Shanghai":
<?php echo str_replace("world","Shanghai","Hello world!"); ?>
定义和用法
str_replace() 函数以其他字符替换字符串中的一些字符(区分大小写)。
该函数必须遵循下列规则:
- 如果搜索的字符串是数组,那么它将返回数组。
- 如果搜索的字符串是数组,那么它将对数组中的每个元素进行查找和替换。
- 如果同时需要对数组进行查找和替换,并且需要执行替换的元素少于查找到的元素的数量,那么多余元素将用空字符串进行替换
- 如果查找的是数组,而替换的是字符串,那么替代字符串将对所有查找到的值起作用。
注释:该函数区分大小写。请使用 str_ireplace() 函数执行不区分大小写的搜索。
注释:该函数是二进制安全的。
语法
str_replace(find,replace,string,count)
参数 | 描述 |
---|---|
find | 必需。规定要查找的值。 |
replace | 必需。规定替换 find 中的值的值。 |
string | 必需。规定被搜索的字符串。 |
count | 可选。对替换数进行计数的变量。 |
技术细节
返回值: | 返回带有替换值的字符串或数组。 |
PHP 版本: | 4+ |
更新日志: | 在 PHP 5.0 中,新增了 count 参数。 在 PHP 4.3.3 之前,该函数的 find 和 replace 参数都为数组时将会遇到麻烦,会引起空的 find 索引在内部指针没有更换到 replace 数组上时被忽略。新的版本不会有这个问题。 自 PHP 4.0.5 起,大多数参数可以是一个数组。 |
更多实例
例子 1
使用带有数组和 count 变量的 str_replace() 函数:
<?php $arr = array("blue","red","green","yellow"); print_r(str_replace("red","pink",$arr,$i)); echo "替换数:$i"; ?>
例子 2
使用带有需要替换的元素少于查找到的元素的 str_replace() 函数:
<?php $find = array("Hello","world"); $replace = array("B"); $arr = array("Hello","world","!"); print_r(str_replace($find,$replace,$arr)); ?>
定义和用法
preg_replace 执行一个正则表达式的搜索和替换
语法
- preg_replace (pattern ,replacement ,subject,limit,count )
参数 | 描述 |
---|---|
pattern | 正则表达式(字符串或字符串数组) |
replacement | 用于替换的字符串或字符串数组 |
subject | 要进行搜索和替换的字符串或字符串数组。 |
limit | 可选。每个模式在每个subject上进行替换的最大次数。默认是 -1(无限)。 |
cout | 可选。完成的替换次数 |
例子 1
- <?php
- $string = 'April 15, 2003';
- $pattern = '/(\w+) (\d+), (\d+)/i';
- $replacement = '${1}1,$3';
- // $1对应(\w+),${1}1是区别$11,说明是$1和1不是$11,$3对应(\d+)
- echo preg_replace($pattern, $replacement, $string);
- ?>
输出:
- April1,2003
例子 2
- <?php
- $patterns = array ('/(19|20)(\d{2})-(\d{1,2})-(\d{1,2})/', '/^\s*{(w+)}\s*=/');
- $replace = array ('\3/\4/\1\2', '$\1 =');
- // \3对应(\d{1,2}),\4对应后一个(\d{1,2}),
- echo preg_replace($patterns, $replace, '{startDate} = 1999-5-27');
- ?>
输出:
- $startDate = 5/27/1999
例子 3
- <?php
- // 把heigth高度属性删除,并添加width="100%"
- $str = '<div><p>12312321</p><img src="xx.jpg" height="213" /><span>111</span><img src="xz.jpg" /></div>';
- $str = preg_replace("/height\=\"[0-9]+?\"/","",$str);
- $str1 = preg_replace("/src=\"(.+?)\"/","src=\"$1\" width=\"100%\"",$str);
- print_r($str1);
php中$_REQUEST、$_POST、$_GET的区别和联系小结
1. $_REQUEST
php中$_REQUEST可以获取以POST方法和GET方法提交的数据,但是速度比较慢
2. $_GET
用来获取由浏览器通过GET方法提交的数据。GET方法他是通过把参数数据加在提交表单的action属性所指的URL中,值和表单内每个字段一一对应,然后在URL中可以看到,但是有如下缺点:
1. 安全性不好,在URL中可以看得到
2. 传送数据量较小,不能大于2KB。
3. $_POST
用来获取由浏览器通过POST方法提交的数据。POST方法他是通过HTTP POST机制,将表单的各个字段放置在HTTP HEADER内一起传送到action属性所指的URL地址中,用户看不到这个过程。他提交的大小一般来说不受限制,但是具体根据服务器的不同,还是略有不同。相对于_GET方式安全性略高
4. $_REQUEST、$_POST、$_GET 的区别和联系
$_REQUEST["参数"]具用$_POST["参数"] $_GET["参数"]的功能,但是$_REQUEST["参数"]比较慢。通过post和get方法提交的所有数据都可以通过$_REQUEST数组["参数"]获得