php 开启魔术单引号,PHP 魔术引号(Magic Quotes)以及 WordPress 的处理方式

最新推荐文章于 2021-04-02 06:07:11 发布
最新推荐文章于 2021-04-02 06:07:11 发布
阅读量209 收藏
点赞数
文章标签: php 开启魔术单引号
PHP的魔术引号是一种自动数据转义机制,旨在防止SQL注入,但其存在效率和可移植性问题。开启时,所有特殊字符会被转义。然而,现代开发中推荐使用数据库转义或预编译语句。关闭魔术引号可通过`@ini_set()`实现,并用`addslashes()`或`stripslashes()`按需处理。WordPress等框架有特定的处理策略。
摘要由CSDN通过智能技术生成

魔术引号(Magic Quotes)

魔术引号(Magic Quotes)是一个自动将进入 PHP 脚本的数据进行转义的过程。最好在编码时不要转义而在运行时根据需要而转义。

当魔术引号打开时,所有的 \’(单引号),\”(双引号),\\(反斜线)和 NULL 字符都会被自动加上一个反斜线进行转义。这和 addslashes() 作用完全相同。PHP 一共有三个魔术引号指令:

magic_quotes_gpc 影响到 HTTP 请求数据($_GET、$_POST、$_COOKIE),不能在运行时改变。在 PHP 中默认值为 on。 参见 get_magic_quotes_gpc()。

magic_quotes_runtime 如果打开的话,大部份从外部来源取得数据并返回的函数,包括从数据库和文本文件,所返回的数据都会被反斜线转义。该选项可在运行的时改变,在PHP 中的默认值为 off。 参见 set_magic_quotes_runtime() 和 get_magic_quotes_runtime()。

magic_quotes_sybase 如果打开的话,将会使用单引号对单引号进行转义而非反斜线,此选项会完全覆盖 magic_quotes_gpc。如果同时打开两个选项的话,单引号将会被转义成 \’\’。而双引号、反斜线 和 NULL 字符将不会进行转义。 如何取得其值参见 ini_get()。

魔术引号存在的问题

魔术引号是为了阻止SQL 注入,这样可以帮助新手在不知不觉中写出了更好(更安全)的代码,但是在处理代码的时候,最好是更改你的代码而不是依赖于魔术引号的开启,现在开发者能够更好得意识到了安全问题,并最终使用数据库转义机制或者 prepared 语句来取代魔术引号功能。

魔术引号打开或并闭都会影响到可移植性,可以用 get_magic_quotes_gpc() 来检查是否打开,并据此编程。

由于并不是每一段被转义的数据都要插入数据库的,如果所有进入 PHP 的数据都被转义的话,那么会对程序的执行效率产生一定的影响。在运行时调用转义函数(如 addslashes())更有效率。

由于不是所有数据都需要转义,在不需要转义的地方看到转义的数据就很烦。比如说通过表单发送邮件,结果看到一大堆的 \\\’。针对这个问题,可以使用 stripslashes() 函数处理。

WordPress 怎么处理魔术引号

1. 首先在运行时关闭 magic_quotes_runtime 和 magic_quotes_sybase:

@ini_set( 'magic_quotes_runtime', 0 );

@...

十八岁的老女人
关注
PHP魔术引号所带来的安全问题分析
12-19
PHP通过提取魔术引号产生的“\”字符会带来一定的安全问题,例如下面这段代码片段: // foo.php?xigr='ryat\nfunction daddslashes($string, $force = 0) {\n!defined('MAGIC_QUOTES_GPC') && define('MAGIC_QUOTES_GPC', get_magic_quotes_gpc()); if(!MAGIC_QUOTES_GPC || $force) { if(is_array($string)) { foreach($string as $key => $val) { $string[$key]
php中的魔术引号
weixin_50464560的博客
07-25 491
什么是魔术引号魔术引号是程序自动将进入PHP脚本的数据进行转意的过程。当打开时,所有的 '(单引号),"(双引号),\(反斜线)和 NULL 字符都会被自动加上一个反斜线进行转义。和 addslashes() 函数的作用完全相同。 魔术引号指令: magic_quotes_gpc 影响到 HTTP 请求数据(GET,POST 和 COOKIE)。不能在运行时改变。在 PHP 中默认值为 on。 参见 get_magic_quotes_gpc()。 magic_quotes_runtime 如果打开的话,
魔术引号 php,关于PHP魔术引号
weixin_31754209的博客
03-13 198
魔术引号打开时,所有的'(单引号),"(双引号),\(反斜线)和NULL字符都会被自动加上一个反斜线进行转义。这和作用完全相同。一共有三个魔术引号指令:影响到HTTP请求数据(GET,POST 和 COOKIE)。不能在运行时改变。在PHP中默认值为on。如果打开的话,大部份从外部来源取得数据并返回的函数,包括从数据库和文本文件,所返回的数据都会被反斜线转义。该选项可在运行的时改变,在...
魔术引号是否开启
家门口种果树,不怕馋
06-05 1078
//检查魔术引号是否开启 if(!get_magic_quotes_gpc()){    function _addSlashes(&$v,$k){             $v = addslashes($v);            // echo $v."   init.php";    }   // array_walk_recursive()递归数组里面的所有元素
PHP 魔术引号详解讲解
05-31 794
PHP之安全在于其默认配置php.ini-dist中具备一个magic_quotes_gpc = On的东西,叫“魔术引号Magic Quote)”,对PHP初学者很有用,“尽管SQL注入在魔术引号打开的情况下仍然有可能实现,但起码系统的风险减少很多了”(PHP手册)。但是对于 PHP代码的移植性却造成了影响,而且并不是每一个被魔术引号转义的数据都需要写入数据库,这样就对程序的执行效率造成了
PHP表单提交后引号前自动加反斜杠的原因及三种办法关闭php魔术引号
12-19
当`magic_quotes_gpc`设置为`On`时,PHP会在接收到的GET、POST、COOKIE数据中对以下四种字符自动添加反斜杠:单引号(')、双引号(")、反斜杠(\)以及NULL字符。例如,用户输入的字符串"Hello, world!"在提交后会...
php 防止单引号,双引号在接受页面转义
12-18
PHP有一个名为`magic_quotes_gpc`的配置选项,当它开启时,PHP会自动对提交到服务器的数据进行转义,包括单引号、双引号以及反斜杠。如果你不希望这种自动转义发生,可以有两种方法: 方法一:在php.ini配置文件中...
php下防止单引号,双引号在接受页面转义的设置方法
12-18
PHP编程语言中,单引号(')和双引号(")在处理字符串时有不同的行为,这在编写代码时需要特别注意。本篇文章将详细介绍这两种引号的区别以及如何防止它们在页面上被转义。 首先,让我们来理解PHP中的`magic_...
php魔术引号
weixin_30367873的博客
05-19 103
  什么是魔术引号?当sql句中含有单引号,双引号,反斜杠和NUL时,这时候如果不对这些符号进行转义,写入数据库时就会出错,而魔术引号magic_quotes_gpc()就是对这些符号进行转义以便能把数据正确写入数据库。   get_magic_quotes_gpc()获取当前magic_quotes_gpc配置选项设置,如果magic_quotes_gpc处于on,则返回1,magic_quo...
PHP 魔术引号
Peak Xin's Blog
06-20 764
一、什么是魔术引号 提醒: 本特性已自 PHP 5.3.0 起废弃并将自 PHP 5.4.0 起移除。 所以在5.4版本以后php配置文件是找不到魔术引号的配置信息的 当打开时,所有的 ‘(单引号),”(双引号),\(反斜线)和 NULL 字符都会被自动加上一个反斜线进行转义。这和 addslashes() 作用完全相同。一共有三个魔术引号指令:1、magic_quotes_gpc 影响到
PHP中的魔术引号
weixin_43376075的博客
01-16 870
魔术引号 是一个自动将进入 PHP 脚本的数据进行转义的过程。此特性已自 PHP 5.3.0 起废弃并将自 PHP 5.4.0 起移除。
php magic quotes_深入PHP magic quotes的详解_PHP教程
weixin_31968639的博客
03-08 150
特地查看了下手册,关于php magic quotes,常见的几个设置如下,magic_quotes_gpc,magic_quotes_sybase,magic_quote_runtime,这几个函数是在php.ini中去配置的,从手册中可以看出从php5.3后已经废除了这些特性,所以强烈大家不要使用,在php.ini中关闭它。这些函数的作用是对数据进行转义。防止sql注入的时候,很多人会这样写...
PHP魔术引用
xp_mozong的专栏
09-05 839
<br />error_reporting(0);<br /> session_start();<br /><br /> //设置常量<br /> define("SERVER_ROOT",dirname(__FILE__)."/");<br /><br /> //设置时区<br /> @date_default_timezone_set("Asia/Shanghai");<br /> //脚本执行时间设置<br /> set_time_limit(60);<br
php魔术引号总结
molaifeng的专栏
01-28 3982
在一个项目中,魔术引号若是打开的话,所有的反斜线(\)、单引号(')、双引号(")、NULL 字符都会被自动加上一个反斜线进行转义,这和 addslashes() 作用完全相同。 这里主要讲四个与之相关的函数:set_magic_quotes_runtime、magic_quotes_gpc、addslashes、stripslashes。         set_magic_quote
PHP语言什么是魔术引号,什么是PHP魔术引号
weixin_42347634的博客
03-17 738
今天在读EcShop的源码中发现里面有几个地方涉及到了PHP魔术引号,之前也碰到过都忽略过去了,再次碰到该深入的理解,虽然自PHP 5.3.0起魔术引号被废弃废弃并将自PHP 5.4.0起移除,但是了解魔术引号以后,在阅读一些PHP 5.3.0之前源码碰到了魔术引号阅读起来也很顺畅。什么是魔术引号魔术引号是程序自动将进入PHP脚本的数据进行转意的过程。当打开时,所有的'(单引号),"(双引号)...
php什么是魔术引用,魔术引用跟递归转义 筋斗云网络
weixin_36366711的博客
03-28 191
这样所有的新闻都会被删除PHP123del.php?id=3sql='delete from news where id='.$_GET['id']';del.php?id=3or1;这时$sql='delete from news where id=3 or 1'这样所有的新闻都会被删除.addslashes 可以对某个变量进行转义,但是,$_POST是一个数组,可以有多个单元,如果每个单元手动...
php 过滤魔术引号,php魔术引号
weixin_42119281的博客
04-02 185
什么是魔术引号?当sql句中含有单引号,双引号,反斜杠和NUL时,这时候如果不对这些符号进行转义,写入数据库时就会出错,而魔术引号magic_quotes_gpc()就是对这些符号进行转义以便能把数据正确写入数据库。get_magic_quotes_gpc()获取当前magic_quotes_gpc配置选项设置,如果magic_quotes_gpc处于on,则返回1,magic_quotes_gp...
php配置文件中魔术引号方法没有开启时的解决方案
张波的技术积累
08-22 1683
function addcslashes_func(&$str) { $str = addslashes($str); } if(isset($_POST['submit'])) { if(!get_magic_quotes_gpc()) { array_walk($GET, "addcslashes_func"); arra
PHP编程技巧:魔法引号、字符串处理与时间戳解析
为了避免这个问题,可以使用`get_magic_quotes_gpc()`来检查该指令是否开启,并据此调整代码。 2. **addslashes()**:这个函数用于在特定字符前添加反斜杠,以防止SQL注入等安全问题。这些字符包括单引号('),双...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值