我们的网站常常会担心被SQL注入攻击,SQL注入是非常危险的问题,小则网站后台被入侵,重则整个服务器沦陷,所以一定要小心。你可以打开php.ini,里面有一个设置:
agic_quotes_gpc = Off
这个默认是关闭的,如果它打开后将自动把用户提交对sql的查询进行转换,比如把 ‘ 转为 \’ 等,相当于php中的addslashes()函数的处理。这对防止sql注射有重大作用,所以很多服务器都设置了:
magic_quotes_gpc = On
这又给我们带来一个新的问题,如果我们用户提交的是富文本编辑器的HTML内容,又或者在极端的条件下url中带有序列化的内容(带有双引号)。当我们使用$_GET和$_POST的时候会拿到一串被加上反斜杠的字符串,那么有可能将原始的内容破环之后写入数据库,或者反序列化的工作无法完成。那么我们可以使用stripslashes(string)函数将字符串的反斜杠给去掉:
/**
* 处理服务器开启magic_quotes_gpc
* @param string $str
* @return string
*/
public function dealMagicQuotesGpc($str){
if (ini_get('magic_quotes_gpc')) {
$str = stripslashes($str);
}
return $str;
}
这个方法仅仅是改变一个字符串,还有一个方法是递归处理数组的:
if (ini_get('magic_quotes_gpc')) {
function stripslashesRecursive(array $array)
{
foreach ($array as $k => $v) {
if (is_string($v)) {
$array[$k] = stripslashes($v);
} else if (is_array($v)) {
$array[$k] = stripslashesRecursive($v);
}
}
return $array;
}
$_GET = stripslashesRecursive($_GET);
$_POST = stripslashesRecursive($_POST);
}
上面这段代码可以放在框架的入口程序里,可以递归处理$_GET和$_POST数组的每个元素,不管这数组有多深。