服务器PHP开启magic_quotes_gpc导致提交内容多出反斜杠“\”的解决办法

最新推荐文章于 2024-05-02 14:26:53 发布
最新推荐文章于 2024-05-02 14:26:53 发布
阅读量175 收藏
点赞数
文章标签: php 数据库
原文链接:https://my.oschina.net/xiax/blog/358516
版权

为什么80%的码农都做不了架构师?>>>   hot3.png

我们的网站常常会担心被SQL注入攻击,SQL注入是非常危险的问题,小则网站后台被入侵,重则整个服务器沦陷,所以一定要小心。你可以打开php.ini,里面有一个设置:

agic_quotes_gpc = Off

这个默认是关闭的,如果它打开后将自动把用户提交对sql的查询进行转换,比如把 ‘ 转为 \’ 等,相当于php中的addslashes()函数的处理。这对防止sql注射有重大作用,所以很多服务器都设置了:

magic_quotes_gpc = On

这又给我们带来一个新的问题,如果我们用户提交的是富文本编辑器的HTML内容,又或者在极端的条件下url中带有序列化的内容(带有双引号)。当我们使用$_GET和$_POST的时候会拿到一串被加上反斜杠的字符串,那么有可能将原始的内容破环之后写入数据库,或者反序列化的工作无法完成。那么我们可以使用stripslashes(string)函数将字符串的反斜杠给去掉:

/**
 * 处理服务器开启magic_quotes_gpc
 * @param string $str
 * @return string
 */
public function dealMagicQuotesGpc($str){
    if (ini_get('magic_quotes_gpc')) {
        $str = stripslashes($str);
    }
    return $str;
}

这个方法仅仅是改变一个字符串,还有一个方法是递归处理数组的:

if (ini_get('magic_quotes_gpc')) {
     function stripslashesRecursive(array $array)
     {
          foreach ($array as $k => $v) {
               if (is_string($v)) {
                    $array[$k] = stripslashes($v);
               } else if (is_array($v)) {
                    $array[$k] = stripslashesRecursive($v);
               }
          }
          return $array;
     }
 
     $_GET = stripslashesRecursive($_GET);
     $_POST = stripslashesRecursive($_POST);
}

上面这段代码可以放在框架的入口程序里,可以递归处理$_GET和$_POST数组的每个元素,不管这数组有多深。

转载于:https://my.oschina.net/xiax/blog/358516

weixin_33860528
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php中get_magic_quotes_gpc()函数说明
12-18
get_magic_quotes_gpc函数是一个用来判断是否为用户提供的数据增加斜线了,这个在php.ini配置文件中哦,下面我来介绍一下get_magic_quotes_gpc()函数说明. get_magic_quotes_gpc函数介绍 取得 PHP 环境变数 magic_...
php gpc开关设置,php magic_quotes_gpc开关的例子
weixin_42500454的博客
03-24 522
如果你网站空间的php.ini文件里的magic_quotes_gpc设成了off,那么PHP就不会在敏感字符前加上反斜杠(\\),由于表单提交内容可能含有敏感字符,如单引号('),就导致了SQL injection的漏洞。在这种情况下,我们可以用addslashes()来解决问题,它会自动在敏感字符前添加反斜杠。如何禁用 magic_quotes_gpc 和safe_mode1,用 php.i...
python使用requests模块读取JSON数据中的网址反斜杠
二木成林
11-30 1455
python使用requests模块读取响应的JSON数据中的网址输出有行斜杠 例如这种: https:\/\/movie.douban.com\/subject\/27166039\/ 读取代码是: response = requests.get(url, headers=header).text # 发送请求,获取响应 print(response) 解决方法是: resp...
网络请求反斜杠引起的问题(反斜杠前多了一个红点)
CSDN博客
04-05 1928
前言 首先我这是第二次遇到这个问题,所以就先记录一下 先说下我的历程 我这边是swift开发,在和后台对接接口的时候,突然出现一个网络请求死活请求不同,无论是chrome的postman插件,还是后期下载postman,以及代码上运行的,死活都是404 但是,我把我请求的地址,参数发给他们,安卓那边可以,后台也可以 然后后台把他那边的postman请求转成swift给我,我突然发现,能请求通,难道真的是我的问题? 然后我拿到转来的请求url,突然发现 app​/api​/v1​/SignRecord​/
php.ini中Magic_Quotes_Gpc开关设置
天上满是飞机
11-23 8399
如果你网站空间的php.ini文件里的magic_quotes_gpc设成了off,那么PHP就不会在敏感字符前加上反斜杠(\\),由于表单提交内容可能含有敏感字符,如单引号('),就导致了SQL injection的漏洞。在这种情况下,我们可以用addslashes()来解决问题,它会自动在敏感字符前添加反斜杠。 但是,上面的方法只适用于magic_quotes_gpc=Off的情况。作为一
PHP开启magic_quotes_gpc,对输入的字符创中的字符进行转义处理
baibaigao的博客
04-29 522
php的gpc参数,php.ini中magic_quote_gpc功能on理解_PHP教程
weixin_42135073的博客
04-13 336
开启magic_quote_gpc=on之后,能实现addslshes()和stripslashes()这两个函数的功能。在PHP4.0及以上的版本中,该选项默认情况下是开启的,所以在PHP4.0及以上的版本中,就算PHP程序中的参数没有进行过滤,PHP系统也会对每一个通过GET、POST、COOKIE方式传递的变量自动转换,换句话说,输入的注入攻击代码将会全部被转换,将给攻击者带来非常大的困难。...
php 接收post 反斜杠_为什么$ _POST变量在PHP中被转义?
weixin_33785596的博客
03-08 683
当我的PHP脚本从AJAX POST请求接收数据时,将对$_POST变量进行转义。真正奇怪的是,这仅发生在我的生产服务器(在Linux上运行PHP5.2.12)上,而不在我的本地服务器(在Windows上运行PHP 5.3.1)上发生。这是AJAX代码:var pageRequest = false;if(window.XMLHttpRequest) pageRequest = new X...
PHPmagic_quotes_gpc动态关闭无效的问题
weixin_34405925的博客
09-06 169
昨天浏览线上项目,发现了一个问题:部分文本输出中的引号前多了一道反斜杠,比如: 引号内容多了\"反斜杠\" 单从页面展现的结果来看,猜测应该是PHP中的magic_quotes_gpc配置被开启了的原因。然后检查了下程序,发现在入口文件中,已经动态关闭了这个配置: ini_set('magic_quotes_gpc', 'Off'); 为什么没有生效呢? 经过一番查找,同...
基于magic_quotes_gpcmagic_quotes_runtime的区别与使用介绍
10-27
本篇文章小编为大家介绍,基于magic_quotes_gpcmagic_quotes_runtime的区别与使用介绍。需要的朋友参考下
基于PHP magic_quotes_gpc的使用方法详解
10-27
本篇文章是对PHPmagic_quotes_gpc的使用方法进行了详细的分析介绍,需要的朋友参考下
PHP5下$_SERVER变量不再受magic_quotes_gpc保护的弥补方法
10-27
php5的环境中我们的$_SERVER变量将不再受magic_quotes_gpc的保护,至于程序该如何加强自己的安全性,下面我们总结了怎么保护php中的cookie,get,post,files数据哦,有需要的朋友可参考一下
php magic_quotes_gpc的一点认识与分析
10-30
最近一直在做一个文章发布系统,做了改,改了做,一直到现在还没竣工.... 为了达到更好的兼容性,其中的程序涉及到了magic_quotes_gpc,看了下手册,又找了些资料,分析了下,分享给大家。
【Web】CTFSHOW 中期测评刷题记录(1)
最新发布
uuzeray的博客
05-02 1387
访问./cache/6a992d5529f459a44fee58c733255e86.php,命令执行拿flag。login.php是在./templates下的,而./flag.php与./templates均为web目录。注意到用./template/error.php中存在{{username}},可以用其cache来写马。这时候重开下靶机再去读./templates/index.php,发现是给了提示的。访问./config/settings.php,命令执行拿到flag。
supervisor 简单理解
qq_42857358的博客
04-28 260
test.ini文件内容
桌面运维岗面试三十问
一坨小橙子的博客
04-28 764
桌面运维岗面试问题及答案汇总
PHP算命源码_最新测算塔罗源码_可以运营
吉他程序员的博客
04-30 325
八字精批、事业财运、姓名分析、宝宝起名、公司测名、姓名配对、综合详批、姻缘测算、牛年感情、PC版测算、八字合婚、紫微斗数、鼠年运程、月老姻缘、许愿祈福、号码解析、塔罗运势、脱单占卜、感情继续、脱单占卜、塔罗爱情、心理有你、能否复合、暗恋对象、是否分手、爱着别人、大师服务(包含多项功能)共计30余项功能,全网功能全,完善的版本。
网络之路29:三层链路聚合
衡水铁头哥的博客
04-28 700
正文共:1666 字 17 图,预估阅读时间:3 分钟目录网络之路第一章:Windows系统中的网络0、序言 1、Windows系统中的网络 1.1、桌面中的网卡 1.2、命令行中的网卡 1.3、路由表 1.4、家用路由器网络之路第二章:认识企业设备2、认识企业设备 2.1、MSR810-W外观 2.2、登录MSR810-W管理页面 2.3、快速设置上网 2.4、WLAN配置 2...
windows11安装nginx
xiaobai_cpp的博客
04-30 244
5.网络->侦听端口,查看nginx侦听的端口,这里是90端口。1.解压nginx安装包到没有中文的目录。3.任务管理器查看是否有nginx进程。4.任务管理器->性能->资源监视器。2.双击运行nginx.exe。
magic_quotes_gpc
05-01
magic_quotes_gpc开启时,PHP会自动对传递的数据进行转义,将特殊字符添加反斜杠。这样可以确保数据在存储到数据库或者输出到页面时不会引起意外的问题。 然而,由于magic_quotes_gpc的设计存在一些问题,因此在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值