PHP中的魔术引号

魔术引号(Magic Quote)是一个自动将进入 PHP 脚本的数据进行转义的过程。

什么是魔术引号

当打开时,所有的 '(单引号),"(双引号),\(反斜线)都会被自动加上一个反斜线进行转义。这和 addslashes() 作用完全相同。

三个魔术引号指令:

1. magic_quotes_gpc 影响到 HTTP 请求数据(GET,POST 和 COOKIE)。不能在运行时改变。在 PHP 中默认值为 on。 
   get_magic_quotes_gpc()获取当前 magic_quotes_gpc 的配置选项设置

2. magic_quotes_runtime 如果打开的话,大多数从外部来源取得数据并返回的函数,包括从数据库和文本文件,所返回的数据都会被反斜线转义。该选项可在运行时改变,在 PHP 中的默认值为 off。
   set_magic_quotes_runtime()设置当前 magic_quotes_runtime 配置选项的激活状态
   get_magic_quotes_runtime()获取当前 magic_quotes_runtime 配置选项的激活状态

3. magic_quotes_sybase 如果打开的话,将会使用单引号对单引号进行转义而非反斜线。此选项会完全覆盖 magic_quotes_gpc。如果同时打开两个选项的话,单引号将会被转义成 ''。而双引号、反斜线 和 NULL 字符将不会进行转义。

为什么要用魔术引号

为了帮助新手在不知不觉中写出了更好(更安全)的代码,防止SQL 注入。 但是在处理代码的时候,最好是更改你的代码而不是依赖于魔术引号的开启。
如今PHP已经不再支持魔术引号,此特性已自 PHP 5.3.0 起废弃并将自 PHP 5.4.0 起移除。 开发者们开始使用数据库转移机制或者 prepared 语句来取代魔术引号功能。

为什么不用魔术引号

  1. 可移植性
    编程时认为其打开或并闭都会影响到移植性。可以用get_magic_quotes_gpc() 来检查是否打开,并据此编程。
  2. 性能
    由于并不是每一段被转义的数据都要插入数据库的,如果所有进入 PHP 的数据都被转义的话,那么会对程序的执行效率产生一定的影响。在运行时调用转义函数(如 addslashes())更有效率。 尽管 php.ini-dist 默认打开了这个选项,但是 php.ini-recommended 默认却关闭了它,主要是出于性能的考虑。
  3. 不便
    由于不是所有数据都需要转义,在不需要转义的地方看到转义的数据就很烦。比如说通过表单发送邮件,结果看到一大堆的\ '。针对这个问题,可以使用 stripslashes() 函数处理。

addslashes() — 使用反斜线引用字符串(在单引号(’)、双引号(")、反斜线(\)前加上反斜线进行转义)
stripslashes() — 反引用一个引用字符串(删去字符串中的反斜线)

发布了9 篇原创文章 · 获赞 1 · 访问量 198
展开阅读全文

没有更多推荐了,返回首页

©️2019 CSDN 皮肤主题: 大白 设计师: CSDN官方博客

分享到微信朋友圈

×

扫一扫,手机浏览