php _runmagicquotes,PHP关于magic quotes的理解

最新推荐文章于 2021-03-11 05:30:22 发布
最新推荐文章于 2021-03-11 05:30:22 发布
阅读量195 收藏
点赞数
文章标签: php _runmagicquotes

说明:

php手册中关于magic quotes,常见的有如下三个设置:magic_quotes_gpc,magic_quotes_sybase,magic_quote_runtime。这几个参数都是在php.ini中配置的,从手册中可以看出从php5.3起已经废除这些特性,5.4及以后版本已经直接删除了这些特性。所以强烈建议php5.3及其以下版本不要使用magic quotes,在php.ini中关闭它。

; Magic quotes for incoming GET/POST/Cookie data.

magic_quotes_gpc = Off

; Magic quotes for runtime-generated data, e.g. data from SQL, from exec(), etc.

magic_quotes_runtime = Off

; Use Sybase-style magic quotes (escape ' with '' instead of \').

magic_quotes_sybase = Off

这些参数的作用是对数据进行转义。因此防止sql注入时很多人会这样写:

if(!get_magic_quotes_gpc()){

$post=addslashes($post);

}

这样就会对post获得的数据进行转义(如’转换成\’,如“转换面\”)

具体:

如果开启了它们,会自动给你转义单引号(’)、双引号(”)、反斜线(\)与 NUL(null字符),其实就相当于调用addslashes函数。你可能会说这样不是很好嘛,安全性更高了,但是,你考虑代码移植性了吗?另外,对于上所有gpc($_GET,$_POST,$_COOKIE)的数据你都进行转义是否有必要?开销有多大?下面就对手册中关于Magic Quotes的详细说明:

1.magic_quotes_gpc

magic_quotes_gpc这个是用来设置GPC($_GET、$_POST、$_COOKIE)的魔术引用状态(在PHP4中也包含$_ENV)。当开启时,所有的单引号(single-quote),双引号(double quote),反斜线(backslash)和NUL’s会被反斜线自动转义。当开启magic_quote_sybase为on时,只有单引号(singgle-quote)会被单引号转义为”,双引号、反斜线(backslash)和NUL’s不受影响不会被转义。

5be265f56a608f1ceba2e4fda67d72ea.png

2.magic_quote_runtime

magic_quote_runtime如果开启该选项,许多返回外部数据(数据库、文本)的函数将会被反斜线(backslash)转义。如果也开启magic_quote_sybase,则只有单引号(single-quote)会被单引号转义。

1db8b6072e2e6417d8f0433b774af1e0.png

3.magic_quotes_sybase

magic_quotes_sybase如果设置此选项开启、在magic_quotes_gpc,magic_quotes_runtime开启的情况下单引号‘会被单引号’转移而不是被反斜线\转义。同时、此设置会完全覆盖magic_quotes_gpc的设置,即使magic_quotes_gpc被设置为on,双引号“、反斜线\和NUL’s也不会被转义。

ecc76a3b99bafc2d78043eccbbcf2982.png

附录:

附录1.addslashes()函数效果

# cat t.php

$str = "Who's John Adams?";

echo $str . " This is not safe in a database query.
";

echo addslashes($str) . " This is safe in a database query.";

?>

# php t.php

Who's John Adams? This is not safe in a database query.

Who\'s John Adams? This is safe in a database query.

可以看到添加了addslashes()函数后’被转义了

附录2: 试了下,发现就会对’ ” \进行转义,其它的如str定义的都没有被转义掉

# cat t.php

$str = "!@#$%^&*()_+:;?/";

echo $str ." ". md5($str) ." " . " This is not safe in a database query.\n";

echo addslashes($str) ." ". md5(addslashes($str)) ." ". " This is safe in a database query.\n";

?>

# php t.php

!@#$%^&*()_+:;?/ 0590f162d8ddc79aa2a6839dfec2f906 This is not safe in a database query.

!@#$%^&*()_+:;?/ 0590f162d8ddc79aa2a6839dfec2f906 This is safe in a database query.

weixin_39931146
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于PHP magic_quotes_gpc的使用方法详解
10-27
本篇文章是对PHPmagic_quotes_gpc的使用方法进行了详细的分析介绍,需要的朋友参考下
基于magic_quotes_gpc与magic_quotes_runtime的区别与使用介绍
10-27
本篇文章小编为大家介绍,基于magic_quotes_gpc与magic_quotes_runtime的区别与使用介绍。需要的朋友参考下
php _runmagicquotes,PHP函数第30款:转义字符函数_RunMagicQuotes
weixin_39572168的博客
03-11 312
一:函数简介此函数的作用是为所有的 ' (单引号), \" (双引号), \\ (反斜线) and 空字符和以会自动转为含有反斜线的转义字符。二:函数源码该函数的作用指的是:1、如果没有启用魔术引号 get_magic_quotes_gpc ,才会执行下边对数组和字符串的转义。当然,如果启用了就不使用该函数了。2、下边遇到数组,遍历数组取值;3、如果遇到字符串>0并且不含 cfg_|GLOB...
magic_quotes_gpc(魔术引号开关)等函数与数据库安全
a3uRa的一个窝
07-29 9861
magic_quotes_gpc函数在php中的作用是判断解析用户提示的数据,如包括有:post、get、cookie过来的数据增加转义字符“\”,对POST、POST、_POST、__GET以及进行数据库操作的sql进行转义处理,以确保这些数据不会引起程序,特别是数据库语句因为特殊字符引起的污染而出现致命的错误。防止sql注入 当magic_quotes_gpc = On时,输入数据中含单引号...
php _runmagicquotes,php magic_quotes_gpc的一点认识与分析
weixin_42522009的博客
03-11 85
php magic_quotes_gpc的一点认识与分析更新时间:2008年08月18日 20:30:48 作者:最近一直在做一个文章发布系统,做了改,改了做,一直到现在还没竣工....为了达到更好的兼容性,其中的程序涉及到了magic_quotes_gpc,看了下手册,又找了些资料,分析了下,分享给大家。blankyao 说“学习的过程就是不断的发现错误,不断的改正错误”;先看下手册上怎么说...
PHP常见的漏洞
xysoul的专栏
11-14 3480
0x00 前言 里面很多都是像laterain学习到的, 如果能考上cuit的话 自动献菊花了。 0x01 安装的问题 首先拿到一份源码 肯定是先install上。 而在安装文件上又会经常出现问题。 一般的安装文件在安装完成后 基本上都不会自动删除这个安装的文件 我遇到过的会自动删除的好像也就qibocms了。 其他的基本都是通过生成一个lock文件 来判断程
magic_quotes_runtime 的作用
热门推荐
每天进步一点点,坚持!!!
12-04 1万+
php.ini的配置文件中,有个布尔值的设置,就是magic_quotes_runtime,当它打开时,php的大部分函数自动的给从外部引入的(包括数据库或者文件)数据中的溢出字符加上反斜线。         当然如果重复给溢出字符加反斜线,那么字符串中就会有多个反斜线,所以这时就要用set_magic_quotes_runtime()与get_magic_quotes_runtime
深入PHP magic quotes的详解
10-27
本篇文章是对php中的magic quotes进行了详细的分析介绍,需要的朋友参考下
php magic_quotes_gpc的一点认识与分析
10-30
最近一直在做一个文章发布系统,做了改,改了做,一直到现在还没竣工.... 为了达到更好的兼容性,其中的程序涉及到了magic_quotes_gpc,看了下手册,又找了些资料,分析了下,分享给大家。
PHP 配置 magic_quotes_runtime 选项
灰蜗牛
09-19 1779
如果启用了 magic_quotes_runtime,大多数返回任何形式外部数据的函数,包括数据库和文本段将会用反斜线转义引号。 如果启用了magic_quotes_sybase,单引号会被单引号转义而不是反斜线。受 magic_quotes_runtime 影响的函数(不包括 PECL 里的函数): get_meta_tags() file_get_contents() file() fg
关于dedecm获取get/post 参数
zc2087的专栏
06-20 1693
<br />文件 /include/common.inc.php 中<br /> <br />函数<br /> function _RunMagicQuotes(&$svar) { if(!get_magic_quotes_gpc()) { if( is_array($svar) ) { foreach($svar as $_k => $_v) $svar[$_k] = _RunMagicQuotes($_v); } else { $svar = ad
PHPMagic quotes 的问题探讨
weixin_30457551的博客
06-30 87
对于 Magic quotes,对于 PHPer 而言是个老生常谈的问题。今天无意间看到篇文章,结合PHP Manual 以及其回复,在这里做个简单的汇总。 简而言之,Magic quotes 开启后会自动转义输入的数据。其中,所有的单引号(')、双引号(")、反斜线、和 NULL 字符都会被转义(增加个反斜线),其实这操作本质上调用的是 addslashes 函数。 为什么使用 Magic ...
get_magic_quotes_gpc函数
weixin_34232363的博客
03-21 412
magic_quotes_gpc函数在php中的作用是判断解析用户提示的数据,如包括有:post、get、cookie过来的数据增加转义字符“\”,以确保这些数据不会引起程序,特别是数据库语句因为特殊字符引起的污染而出现致命的错误   在magic_quotes_gpc=On的情况下,如果输入的数据有 单引号(’)、双引号(”)、反斜线()与 NUL(NULL 字符)等字符都会被加上反斜线。...
php magic quotes_深入PHP magic quotes的详解_PHP教程
weixin_31968639的博客
03-08 141
特地查看了下手册,关于php magic quotes,常见的几个设置如下,magic_quotes_gpc,magic_quotes_sybase,magic_quote_runtime,这几个函数是在php.ini中去配置的,从手册中可以看出从php5.3后已经废除了这些特性,所以强烈大家不要使用,在php.ini中关闭它。这些函数的作用是对数据进行转义。防止sql注入的时候,很多人会这样写...
什么是 Magic Quotes
04-20 92
Magic Quotes 就是把输入 PHP 敏感字符自动进行转义的一个操作选项。它会根据需要对没有被 magic quotes处理的敏感字符进行转义。 当 Magic Quotes 打开的时候,所有的'(单引号),"(双引号),\(反斜杠)和NULL字符都会被添加反斜杠进行转义。这样产生效果就相当于使用addslashes()函数。 一共有三个 magic quote 选项: ...
浅谈开启magic_quotes_gpc后的sql注入攻与防
风的专栏
11-22 9616
通过启用php.ini配置文件中的相关选项,就可以将大部分想利用SQL注入漏洞的骇客拒绝于门外。        开启magic_quotes_gpc=on之后,能实现addslshes()和stripslashes()这两个函数的功能。在PHP4.0及以上的版本中,该选项默认情况下是开启的,所以在PHP4.0及以上的版本中,就算PHP程序中的参数没有进行过滤,PHP系统也会对每一个通过GET、P...
配置 magic_quotes_gpc = off 无效的解决方法
xmlife的专栏
08-07 3070
1.修改PHP配置文件 通过 php.ini 文件把这些选项设为 Off 。 ; Magic quotes ; ; Magic quotes for incoming GET/POST/Cookie data. magic_quotes_gpc = Off ; Magic quotes for runtime-generated data, e.g. data from
php的url编码和Magic Quote
peakerli的专栏
10-26 1062
今天做点个小东西,生成一个随机字符串(ascii码的33-126的字符)。在通过url传递时,问题来了。参数传递很自然的会urlencode。php接受到参数后,我做了一遍urldecode。虽然php会自动进行urldecode。不过我习惯性的做了一般。因为记得之前在哪里看过,urldecode多次执行不影响。这个可领教了,不能这么做。原因:浏览器和服务器对"空格"和"+"号的处理不一致。 浏览器端:浏览器对空格处理成%20,对+号不做处理。 服务器端:如果在web.xml配置了一个含有"+"
magic_quotes_gpc
最新发布
05-01
magic_quotes_gpc是一个在旧版本的PHP中存在的特性,它用于自动转义通过GET、POST和COOKIE方式传递的数据。它的作用是为了防止SQL注入和其他安全漏洞。 当magic_quotes_gpc开启时,PHP会自动对传递的数据进行转义,将特殊字符添加反斜杠。这样可以确保数据在存储到数据库或者输出到页面时不会引起意外的问题。 然而,由于magic_quotes_gpc的设计存在一些问题,因此在PHP 5.4.0版本中被废弃,并在PHP 5.4.0之后的版本中移除。这是因为它可能导致数据处理不一致,而且在新版本的PHP中已经有更好的安全机制来处理输入数据。 如果你在使用较新版本的PHPmagic_quotes_gpc应该是默认关闭的。如果你需要使用类似的功能来确保数据安全,建议使用更现代化的方法,比如使用预处理语句或者转义函数来处理输入数据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值