get_magic_quotes_gpc会将Get/Post/Cookie中所有的 ' (单引号), " (双引号), \
(反斜线) and
空字符加上反斜杠转义。
get_magic_quotes_runtime设置为on的时候会将数据库中取出来的 '
(单引号), " (双引号), \
(反斜线)这些字符加上反斜杠转义。
get_magic_quotes_gpc并不能通过程序来关闭
,get_magic_quotes_runtime可以通过程序来关闭,set_magic_quotes_runtime(0)并不就是关闭了魔法引用,Get/Post/Cookie中的数据还是会被转义的(如果gpc开着在的话),设置这个是取数据的时候强制关闭着,防止取出的时候被再次转义。
如果get_magic_quotes_gpc开着就不要在mysql_escape_string
或者mysql_real_escape_string或者addslashes了,防止多次转义,但是对于用户的输入转义是必须要使用的,无论你是addslashes还是mysql_escape_string还是get_magic_quotes_gpc自动处理甚至是使用str_replace或正则替换都行。但一次就够了,
魔法引用,两个比较模糊的函数,下面通过具体程序来了解下:
<?php
/**
* magic_quotes_runtime()默认关着在
*
这里可以调用函数打开
*/
set_magic_quotes_runtime(1);
$conn =
mysql_connect('localhost','root','123456');
mysql_select_db('test');
//浏览器带参数 输入 a'm
/**
* 关着gpc则没有转义 开着gpc则转义
* 当然可以手动判断 get_magic_quotes_gpc()
然后判断是否要手动 addslashes()
* 因为写入到数据库的时候单引号反斜杠等是需要转义的
*/
$a =
$_GET['a'];
//关闭gpc输出a'm 开着gpc输出 a\'m
echo $a;
/**
* 在转一次 关着gpc则将a'm中单引号转义
* 开着gpc则将此时a\'m 单引号
反斜杠都要转一次
*/
$a = mysql_escape_string($a);
//关闭gpc输出a\'m
开着gpc输出 a\\\'m 也就是在上面的基础上重新手动转换了一次
echo $a;
mysql_query("insert into test (`content`) values ('$a')") or
die(mysql_error());
/**
* 关着gpc
不执行mysql_escape_string转义是写不进数据库的
* 关着gpc 执行mysql_escape_string后正常写入到数据库
数据库中为 a'm
* 开着gpc 不执行mysql_escape_string正常写入到数据库 数据库中为 a'm
*
开着gpc 再执行mysql_escape_string后数据库中为 a\'m
*/
$query =
mysql_query("select * from test ",$conn);
while ($row =
mysql_fetch_assoc($query)) {
/**
*
如果set_magic_quotes_runtime(1)的话会将取出的数据再次转义一次
* 也就是a'm 会输出 a\'m a\'m
会输出a\\\'m
* 如果set_magic_quotes_runtime(0) 则不会再次转义
数据库中是什么就输出什么
*/
var_dump("",$row);
}
?>
366
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
