魔术引号

魔术引号（Magic Quote）是一个自动将进入 PHP 脚本的数据进行转义的过程。最好在编码时不要转义而在运行时根据需要而转义。PHPChina 开源社区门户-NP-JnY4B%tV4z

什么是魔术引号

;o;YcAY[g(`0 当打开时，所有的' （单引号），" （双引号），/ （反斜线）和NULL 字符都会被自动加上一个反斜线进行转义。这和addslashes() 作用完全相同。PHPChina 开源社区门户UOuQ7m/J

"gf{*L*["vk'KM:D0 一共有三个魔术引号指令：PHPChina 开源社区门户Y�Y}0mAD%I

• PHPChina 开源社区门户O Jq%I�k W�A

  magic_quotes_gpc PHPChina 开源社区门户H-F{/g w(fI

  PHPChina 开源社区门户 G(C1k)P-ww0h*w

  影响到 HTTP 请求数据（GET，POST 和 COOKIE）。不能在运行时改变。在 PHP 中默认值为on 。

  -IgM5` Zo{0 PHPChina 开源社区门户|z|p`D*` E2G s

  参见get_magic_quotes_gpc() 。

  #F1^;t$KJp v;hm0

• {2_&fC Ro3l:o*c0 magic_quotes_runtime

  Y&d(C.M"WY0

  -Rmt%D*T5s+r2f}0 如果打开的话，大部份从外部来源取得数据并返回的函数，包括从数据库 和文本文件，所返回的数据都会被反斜线转义。该选项可在运行的时改变，在 PHP 中的默认值为off 。

  Rc9TK2h1ozLk0

  jq2`F S w(/h9z0 参见set_magic_quotes_runtime() 和get_magic_quotes_runtime() 。

  UUTo8xaW�MF`0

• 'FkX'@1[4]]0 magic_quotes_sybase PHPChina 开源社区门户 nj b6Pdkfp4bH

  J5D/1F,K|0 如果打开的话，将会使用单引号对单引号进行转义而非反斜线。此选项会完全覆盖magic_quotes_gpc 。如果同时打开两个选项的话，单引号将会被转义成'' 。而双引号、反斜线 和 NULL 字符将不会进行转义。PHPChina 开源社区门户*iD�rgM Az3n

  S*t1?%Wj0 如何取得其值参见ini_get() 。PHPChina 开源社区门户osPa%l VJ

PHPChina 开源社区门户JcYb!|u6P

为什么要用魔术引号

• Om0qF4R)~er0 对初学者很有用PHPChina 开源社区门户Q*ht4JHU&C$`

  m6xvn"ONf;e0 魔术引号在 PHP 中用来实现避免初学者的代码 更危险。尽管SQL 注入 在魔术引号打开的情况下仍然有可能实现，但起码系统的风险减少很多了。

  )Cf(za6s0r0

• rJ0?;B1NmHz y0 方便使用

  A4n!v^*Z l0 PHPChina 开源社区门户Wb K%/&_jJ;l+/$x

  当向数据库中插入数据时，魔术引号所做的就是自动对所有的 GET、POST、COOKIE 数据运用addslashes() 函数。PHPChina 开源社区门户LT(G G I:bHk

PHPChina 开源社区门户}0x2F/m-E3S0r;O9o(o)lH

为什么不用魔术引号

• C'}8Z8V V~[EY0 可移植性PHPChina 开源社区门户 vy8O b R�{:`

  9`$tKnG M0 编程时认为其打开或并闭都会影响到移植性。可以用get_magic_quotes_gpc() 来检查是否打开，并据此编程。PHPChina 开源社区门户b{ Yj�iGm

• PHPChina 开源社区门户_9d'w:b#h9k

  性能

  VQ$r~Q Xk~.v0 PHPChina 开源社区门户5j&@:w2VN(/y9a0j

  由于并不是每一段被转义的数据都要插入数据库的，如果所有进入 PHP 的数据都被转义的话，那么会对程序的执行效率产生一定的影响。在运行时调用转义函数（如addslashes() ）更有效率。PHPChina 开源社区门户�s,I-I.zIl3HT*L

  %gM*H.h.s1S^e0 尽管php.ini-dist 默认打开了这个选项，但是php.ini-recommended 默认却关闭了它，主要是出于性能的考虑。

  6R�/Wr o/Nts0

• C}C.X /YiR0 不便

  .c*^HD)hK0 PHPChina 开源社区门户nn4L(Z(~?3xF

  由于不是所有数据都需要转义，在不需要转义的地方看到转义的数据就很烦。比如说通过表单发送邮件，结果看到一大堆的 /'。针对这个问题，可以使用stripslashes() 函数处理。

  Qn}*g+_4`0

#/6d'No$Q9L@;D /(@e(/0

关闭魔术引号

PHPChina 开源社区门户(u&Gh}Q /!nl

magic_quotes_gpc 指令只能在系统级关闭，不能在运行时。也就是说不能用ini_set() 。

"~ H{ oH0E0

S.M P C{ {!U8O0

6V7{/8r(P _8xpm0

PHPChina 开源社区门户!t,T2NS7p/I}@%F

例 31.1. 在服务器端关闭魔术引号

soeSwP�r0

4X8E6|kQA1I0 下面是一个通过php.ini 文件把这些选项设为Off 的范例。更多信息请参见本手册的怎样修改配置设定 。PHPChina 开源社区门户~/;L ` mxy_

; Magic quotesPHPChina 开源社区门户6W4Hn%R�p]z;c


;

(wF0?giUn3Lz0


b.X"gK3~[{	rw0
; Magic quotes for incoming GET/POST/Cookie data.

|[lc+p5Z4EP�^0
magic_quotes_gpc = OffPHPChina 开源社区门户"{'x}{@R


PHPChina 开源社区门户9P Y3f_
c~)C


; Magic quotes for runtime-generated data, e.g. data from SQL, from exec(), etc.

e7k0{!R"yH(iU0
magic_quotes_runtime = OffPHPChina 开源社区门户m|w7gl*|V




g_jm~oz0
; Use Sybase-style magic quotes (escape ' with '' instead of /').PHPChina 开源社区门户*g:s]x%S+y2[&x


magic_quotes_sybase = OffPHPChina 开源社区门户&|+KWclNY:`




,V2va`xXC0

PHPChina 开源社区门户/f9ytZ+/ UBbP)ec

如果不能修改服务器端的配置文件，使用.htaccess 也可以。范例如下：PHPChina 开源社区门户:Y/n6{/F8Yz E

php_flag magic_quotes_gpc OffPHPChina 开源社区门户._;_ZWjv
F


PHPChina 开源社区门户-l6uJ"@
ebj

PHPChina 开源社区门户9{#BX9~ | t

为了能写出移植性较强的代码（可以运行于任何环境），例如不能修改服务器配置的情况，下面的例子可以在运行时关闭magic_quotes_gpc 。但是这样做比较低效，适当的修改配置才是更好的办法。

:C:SU7i#C+s0

"|m[4e1v*P/}0

bOs+L([F6v0

R-}yjjxH%`1ty0 例 31.2. 在运行时关闭魔术引号 PHPChina 开源社区门户B9D8t4d6Zvq f+g

<?php
I:xg*B4gu}}0 if ( get_magic_quotes_gpc ()) {
)XS)}7nW0     function stripslashes_deep ( $value )
&[/[&LD2AVH0     {
'wQNoc:Wf0         $value = is_array ( $value ) ?
$E7[ms{�?2g2Gs$U0                     array_map ( 'stripslashes_deep' , $value ) :
2^.^Rq#R0                     stripslashes ( $value );PHPChina 开源社区门户-Vi8p!g)X
PHPChina 开源社区门户(yQ#SKu0B
        return $value ;PHPChina 开源社区门户$|;Yh4nS R
    }
bZ*j�hu*?/0
lPEhO/oK6j0     $_POST = array_map ( 'stripslashes_deep' , $_POST );PHPChina 开源社区门户1[1B&/9Tz[? / I7q
    $_GET = array_map ( 'stripslashes_deep' , $_GET );PHPChina 开源社区门户dV1l,OGY[g
    $_COOKIE = array_map ( 'stripslashes_deep' , $_COOKIE );PHPChina 开源社区门户#[ hy9?!E~
    $_REQUEST = array_map ( 'stripslashes_deep' , $_REQUEST );PHPChina 开源社区门户1|s�ZC rmT w0I5v
}PHPChina 开源社区门户3g;[:aK*F-o/urhX
?>

--------------------

想想这个还真的如同鸡肋，让人用也不是，不用也不是。感觉一般还是不要用，自己转义的好，要不然不该转的它都给转了就麻烦了。