关于magic_quotes

很久没来这了，又变懒了……

今天看到这个魔术引号的问题，同事有遇到过，特转载过来，以便以后查询。

 

php函数中有一个get_magic_quotes_gpc()函数，可以得到当前的magic_quotes_gpc配置(0 for off, 1 for on).
在magic_quote=on的情况下（我们的网站基本都是=on），所有$_GET,$_POST,$_REQUEST中的变量值，会自动地在单引号和双引号之前加上/
这个东西有一个好处就是得到的变量值可以方便的生成SQL语句去查询，比如直接...SET field='$val'就可以用。

但是有个问题，我们所有的SQL语句里面的数值并不都是从$_GET,$_POST,$_REQUEST中来的，比如从数据库里取出来，再写回数据库的时候，如果数据中有单（双）引号，..SET field='$val'就会报错，而且还可能引发不可知的错误。

当然，最简单的方法就是清楚地知道各个变量值从哪里来，然后在SQL的时候判断要不要加addslashes()。
但是这样还是有一个问题：现在大家都会用某个SQL类来实现DB的操作，这个类里面的代码并不知道各个变量的来源，所以相信大多数都会加上addslashes()函数的。
这样的话，当$_GET里面比如应该是isn't，PHP里拿到的是isn/'t，再用addslashes()，SQL中就变成了isn///'t，存入数据库的就是isn/’t，那么我们的数据就错了。

那么有人就说，那干脆把magic_quote设置成off，不就好了？
不行，并不是所有的人都会注意到这个问题，一些初学者或者是有些粗心的时候，会很随意地写一些类似..SET field='$val'的程序而没有用很好的类库函数，如果magic_quote=off的话，外面的人只要在url上打[...php?val=';drop table ttt;]，ttt表就会被自动的删掉。
这是很不安全的。

虽然两边都会出错，但是总体来说magic_quote=on的时候更安全一些，出错也是由于自己的代码导致，不会被别人攻击。

至于上面说的多重/的问题，我们还是要用有addslashes()的类库函数，但是在从$_GET,$_POST,$_REQUEST中得到数据的时候stripslashes()就好了。

这里建议对传来的整形和字符串类型的变量，在程序一开始就作如下转换：
整形：$nProductID = max(0, (int)$_REQUEST['pid']);
字符串类型：$sCategoryName = stripslashes(trim($_REQUEST['catname']))
PHP的global设置应该是off的，毕竟$pid和$_REQUEST[‘pid’]更容易让人区分变量的来源。