PHP 魔术引号

最新推荐文章于 2024-07-12 15:51:39 发布
最新推荐文章于 2024-07-12 15:51:39 发布
阅读量323 收藏
点赞数
文章标签: php sybase .htaccess 服务器 function 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xuzhiqiang1981/article/details/5282275
版权

魔术引号(Magic Quote)是一个自动将进入 PHP 脚本的数据进行转义的过程。最好在编码时不要转义而在运行时根据需要而转义

 

什么是魔术引号

当打开时,所有的 '(单引号),"(双引号),/(反斜线)和 NULL 字符都会被自动加上一个反斜线进行转义。这和 addslashes() 作用完全相同。

一共有三个魔术引号指令:

    * magic_quotes_gpc 影响到 HTTP 请求数据(GET,POST 和 COOKIE)。不能在运行时改变。在 PHP 中默认值为 on。 参见 get_magic_quotes_gpc()。
    * magic_quotes_runtime 如果打开的话,大部份从外部来源取得数据并返回的函数,包括从数据库和文本文件,所返回的数据都会被反斜线转义。该选项可在运行的时改变,在 PHP 中的默认值为 off。 参见 set_magic_quotes_runtime() 和 get_magic_quotes_runtime()。
    * magic_quotes_sybase 如果打开的话,将会使用单引号对单引号进行转义而非反斜线。此选项会完全覆盖 magic_quotes_gpc。如果同时打开两个选项的话,单引号将会被转义成 ''。而双引号、反斜线 和 NULL 字符将不会进行转义。 如何取得其值参见 ini_get()。

 


为什么要用魔术引号

    * 对初学者很有用 魔术引号在 PHP 中用来实现避免初学者的代码更危险。尽管 SQL 注入在魔术引号打开的情况下仍然有可能实现,但起码系统的风险减少很多了。
    * 方便使用 当向数据库中插入数据时,魔术引号所做的就是自动对所有的 GET、POST、COOKIE 数据运用 addslashes() 函数。


为什么不用魔术引号

    * 可移植性 编程时认为其打开或并闭都会影响到移植性。可以用 get_magic_quotes_gpc() 来检查是否打开,并据此编程。
    * 性能 由于并不是每一段被转义的数据都要插入数据库的,如果所有进入 PHP 的数据都被转义的话,那么会对程序的执行效率产生一定的影响。在运行时调用转义函数(如 addslashes())更有效率。 尽管 php.ini-dist 默认打开了这个选项,但是 php.ini-recommended 默认却关闭了它,主要是出于性能的考虑。
    * 不便 由于不是所有数据都需要转义,在不需要转义的地方看到转义的数据就很烦。比如说通过表单发送邮件,结果看到一大堆的 /'。针对这个问题,可以使用 stripslashes() 函数处理。


关闭魔术引号

magic_quotes_gpc 指令只能在系统级关闭,不能在运行时。也就是说不能用 ini_set()。

Example #1 在服务器端关闭魔术引号

下面是一个通过 php.ini 文件把这些选项设为 Off 的范例。更多信息请参见本手册的怎样修改配置设定。

; Magic quotes
;

; Magic quotes for incoming GET/POST/Cookie data.
magic_quotes_gpc = Off

; Magic quotes for runtime-generated data, e.g. data from SQL, from exec(), etc.
magic_quotes_runtime = Off

; Use Sybase-style magic quotes (escape ' with '' instead of /').
magic_quotes_sybase = Off

如果不能修改服务器端的配置文件,使用 .htaccess 也可以。范例如下:

php_flag magic_quotes_gpc Off

为了能写出移植性较强的代码(可以运行于任何环境),例如不能修改服务器配置的情况,下面的例子可以在运行时关闭 magic_quotes_gpc。但是这样做比较低效,适当的修改配置才是更好的办法。

Example #2 在运行时关闭魔术引号
<?php
if (get_magic_quotes_gpc()) {
    function stripslashes_deep($value)
    {
        $value = is_array($value) ?
                    array_map('stripslashes_deep', $value) :
                    stripslashes($value);

        return $value;
    }

    $_POST = array_map('stripslashes_deep', $_POST);
    $_GET = array_map('stripslashes_deep', $_GET);
    $_COOKIE = array_map('stripslashes_deep', $_COOKIE);
    $_REQUEST = array_map('stripslashes_deep', $_REQUEST);
}
?>

 


关闭魔术引号

magic_quotes_gpc 指令只能在系统级关闭,不能在运行时。也就是说不能用 ini_set()。

Example #1 在服务器端关闭魔术引号

下面是一个通过 php.ini 文件把这些选项设为 Off 的范例。更多信息请参见本手册的怎样修改配置设定。

; Magic quotes
;

; Magic quotes for incoming GET/POST/Cookie data.
magic_quotes_gpc = Off

; Magic quotes for runtime-generated data, e.g. data from SQL, from exec(), etc.
magic_quotes_runtime = Off

; Use Sybase-style magic quotes (escape ' with '' instead of /').
magic_quotes_sybase = Off

如果不能修改服务器端的配置文件,使用 .htaccess 也可以。范例如下:

php_flag magic_quotes_gpc Off

为了能写出移植性较强的代码(可以运行于任何环境),例如不能修改服务器配置的情况,下面的例子可以在运行时关闭 magic_quotes_gpc。但是这样做比较低效,适当的修改配置才是更好的办法。

Example #2 在运行时关闭魔术引号
<?php
if (get_magic_quotes_gpc()) {
    function stripslashes_deep($value)
    {
        $value = is_array($value) ?
                    array_map('stripslashes_deep', $value) :
                    stripslashes($value);

        return $value;
    }

    $_POST = array_map('stripslashes_deep', $_POST);
    $_GET = array_map('stripslashes_deep', $_GET);
    $_COOKIE = array_map('stripslashes_deep', $_COOKIE);
    $_REQUEST = array_map('stripslashes_deep', $_REQUEST);
}
?>

 


关闭魔术引号

magic_quotes_gpc 指令只能在系统级关闭,不能在运行时。也就是说不能用 ini_set()。

Example #1 在服务器端关闭魔术引号

下面是一个通过 php.ini 文件把这些选项设为 Off 的范例。更多信息请参见本手册的怎样修改配置设定。

; Magic quotes
;

; Magic quotes for incoming GET/POST/Cookie data.
magic_quotes_gpc = Off

; Magic quotes for runtime-generated data, e.g. data from SQL, from exec(), etc.
magic_quotes_runtime = Off

; Use Sybase-style magic quotes (escape ' with '' instead of /').
magic_quotes_sybase = Off

如果不能修改服务器端的配置文件,使用 .htaccess 也可以。范例如下:

php_flag magic_quotes_gpc Off

为了能写出移植性较强的代码(可以运行于任何环境),例如不能修改服务器配置的情况,下面的例子可以在运行时关闭 magic_quotes_gpc。但是这样做比较低效,适当的修改配置才是更好的办法。

Example #2 在运行时关闭魔术引号
<?php
if (get_magic_quotes_gpc()) {
    function stripslashes_deep($value)
    {
        $value = is_array($value) ?
                    array_map('stripslashes_deep', $value) :
                    stripslashes($value);

        return $value;
    }

    $_POST = array_map('stripslashes_deep', $_POST);
    $_GET = array_map('stripslashes_deep', $_GET);
    $_COOKIE = array_map('stripslashes_deep', $_COOKIE);
    $_REQUEST = array_map('stripslashes_deep', $_REQUEST);
}
?>

xuzhiqiang1981
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP语言什么是魔术引号,什么是PHP魔术引号
weixin_42347634的博客
03-17 703
今天在读EcShop的源码中发现里面有几个地方涉及到了PHP魔术引号,之前也碰到过都忽略过去了,再次碰到该深入的理解,虽然自PHP 5.3.0起魔术引号被废弃废弃并将自PHP 5.4.0起移除,但是了解魔术引号以后,在阅读一些PHP 5.3.0之前源码碰到了魔术引号阅读起来也很顺畅。什么是魔术引号魔术引号是程序自动将进入PHP脚本的数据进行转意的过程。当打开时,所有的'(单引号),"(双引号)...
PHP常用的魔术方法
珞羽飘凌个人博客
01-02 3918
1、__get、__set 这两个方法是为在类和他们的父类中没有声明的属性而设计的 __get( $property ) 当调用一个未定义的属性时访问此方法 __set( $property, $value ) 给一个未定义的属性赋值时调用 这里的没有声明包括当使用对象调用时,访问控制为proteced,private的属性(即没有权限访问的属性) 2、__isset、__unset __isse...
PHP中的魔术引号
weixin_43376075的博客
01-16 807
魔术引号 是一个自动将进入 PHP 脚本的数据进行转义的过程。此特性已自 PHP 5.3.0 起废弃并将自 PHP 5.4.0 起移除。
php魔术引号
weixin_30367873的博客
05-19 96
  什么是魔术引号?当sql句中含有单引号,双引号,反斜杠和NUL时,这时候如果不对这些符号进行转义,写入数据库时就会出错,而魔术引号magic_quotes_gpc()就是对这些符号进行转义以便能把数据正确写入数据库。   get_magic_quotes_gpc()获取当前magic_quotes_gpc配置选项设置,如果magic_quotes_gpc处于on,则返回1,magic_quo...
PHP 魔术引号详解讲解
05-31 788
PHP之安全在于其默认配置php.ini-dist中具备一个magic_quotes_gpc = On的东西,叫“魔术引号(Magic Quote)”,对PHP初学者很有用,“尽管SQL注入在魔术引号打开的情况下仍然有可能实现,但起码系统的风险减少很多了”(PHP手册)。但是对于 PHP代码的移植性却造成了影响,而且并不是每一个被魔术引号转义的数据都需要写入数据库,这样就对程序的执行效率造成了
PHP魔术引号所带来的安全问题分析
12-19
PHP魔术引号是一种旧特性,主要在PHP 4和PHP 5早期版本中存在,用于自动转义用户输入的数据,以防止SQL注入等安全问题。然而,随着时间的推移,这个特性被证明并不完善,反而增加了更多的安全隐患。本文将深入探讨...
PHP表单提交后引号前自动加反斜杠的原因及三种办法关闭php魔术引号
12-19
总之,PHP魔术引号功能虽然在早期被广泛用于增强安全性,但随着编程实践的发展,更多的安全措施如预编译语句(PDO, mysqli预处理语句等)和过滤库(如Filter_var)成为了更好的选择。因此,关闭魔术引号并采取更...
php各版本大全
08-30
5.2版本引入了魔术引号和E_STRICT级别,但这些特性在后续版本中已被废弃或改变。 6. PHP 7.0.12-nts: PHP 7带来了重大的性能提升,其ZEND引擎被替换为新的OPcache引擎。语法上,它移除了魔术引号,引入了空合并...
php 开启魔术引号,PHP 魔术引号(Magic Quotes)以及 WordPress 的处理方式
weixin_32211243的博客
03-21 201
魔术引号(Magic Quotes)魔术引号(Magic Quotes)是一个自动将进入 PHP 脚本的数据进行转义的过程。最好在编码时不要转义而在运行时根据需要而转义。当魔术引号打开时,所有的 \’(单引号),\”(双引号),\\(反斜线)和 NULL 字符都会被自动加上一个反斜线进行转义。这和 addslashes() 作用完全相同。PHP 一共有三个魔术引号指令:magic_quotes_g...
PHP魔术引号
allanshi1986008的博客
09-05 405
什么是魔术引号 Warning 本特性已自 PHP5.3.0起废弃并将自PHP5.4.0起移除。 当打开,所有的'(单引号),"(双引号), (反斜线)和NULL 字符都会被自动加上一个反斜线进行转义。 这和addslashes()作用完全相同。 一共有三个魔术引号指令: ①、magic_quotes_gpc影响到HTTP请求数据(GET,POST和COOKIE)。不能在运行时改变。 ...
魔术引号 php,关于PHP魔术引号
weixin_31754209的博客
03-13 191
魔术引号打开时,所有的'(单引号),"(双引号),\(反斜线)和NULL字符都会被自动加上一个反斜线进行转义。这和作用完全相同。一共有三个魔术引号指令:影响到HTTP请求数据(GET,POST 和 COOKIE)。不能在运行时改变。在PHP中默认值为on。如果打开的话,大部份从外部来源取得数据并返回的函数,包括从数据库和文本文件,所返回的数据都会被反斜线转义。该选项可在运行的时改变,在...
总结3:PHP中的魔术引号
hyh1123176978的博客
12-27 625
阅读PHP框架源码时发现很多框架都对魔术引号做了兼容处理,总结如下: 1、魔术引号的作用是什么?         魔术引号设计的初衷是为了让从数据库或文件中读取数据和从请求中接收参数时,对单引号、双引号、反斜线、NULL加上一个一个反斜线进行转义,这个的作用跟addslashes()的作用完全相同。 2、转义的作用?         
php中的魔术引号
weixin_50464560的博客
07-25 474
什么是魔术引号魔术引号是程序自动将进入PHP脚本的数据进行转意的过程。当打开时,所有的 '(单引号),"(双引号),\(反斜线)和 NULL 字符都会被自动加上一个反斜线进行转义。和 addslashes() 函数的作用完全相同。 魔术引号指令: magic_quotes_gpc 影响到 HTTP 请求数据(GET,POST 和 COOKIE)。不能在运行时改变。在 PHP 中默认值为 on。 参见 get_magic_quotes_gpc()。 magic_quotes_runtime 如果打开的话,
PHP 关闭魔术引号
qq_16490557的专栏
07-01 899
第一种方法: 更改PHP.INI的magic_quotes_gpc = On改成OFF 第二种方法: if (get_magic_quotes_gpc()) {    function stripslashes_deep($value)    {        $value = is_array($value) ?                    array_map('stripsla
php魔术引号总结
molaifeng的专栏
01-28 3967
在一个项目中,魔术引号若是打开的话,所有的反斜线(\)、单引号(')、双引号(")、NULL 字符都会被自动加上一个反斜线进行转义,这和 addslashes() 作用完全相同。 这里主要讲四个与之相关的函数:set_magic_quotes_runtime、magic_quotes_gpc、addslashes、stripslashes。         set_magic_quote
PHP编程开发工具有哪些?
Pythonit教程网
07-10 989
PHP的开发工具种类繁多,涵盖了从集成开发环境(IDE)、代码编辑器、调试器到版本控制工具和数据库管理工具等多个方面。以下是一些常见的PHP开发工具:### 1. 集成开发环境(IDE)* **PhpStorm**:由JetBrains开发的全功能PHP IDE,提供了代码自动完成、调试器、版本控制工具等丰富的功能,支持多种框架和技术。PhpStorm拥有最现代化的功能集,可以快速便捷地进行网页开发,并支持所有PHP语言功能,是专业PHP开发的优选工具。 * **Eclipse PDT**:基于Eclips
Laravel Excel导出功能:高效实现数据导出
liuxin33445566的博客
07-08 1181
Laravel Excel导出功能允许开发者将查询结果或其他数据集合转换成Excel格式的文件。这不仅可以提高数据交换的效率,还可以提升用户体验。Laravel Excel支持自定义导出格式,包括自定义单元格样式、合并单元格、添加图片等。这可以通过实现WithEvents等接口来实现。
java版的上门家政系统和PHP版的上门家政有什么区别?
最新发布
baina666的博客
07-12 359
综上所述,Java版和PHP版的上门家政系统各有优缺点,选择哪种语言主要取决于项目的具体需求、预算、开发团队的技术栈以及未来的扩展计划等因素。同时,由于Java生态系统的复杂性和多样性,也可能需要投入更多的时间和资源来学习和掌握相关的技术和工具。Java版:Java拥有庞大的生态系统和丰富的第三方库,这为家政系统的开发和扩展提供了强大的支持。Java版:由于Java的编译执行机制和高效的垃圾回收算法,Java版家政系统通常具有更高的运行效率和更好的性能表现,尤其是在处理高并发、大数据量等复杂场景时。
魔术引号会将哪些符号转义,以及转义之后的效果
05-17
魔术引号(Magic Quotes)在 PHP 5.3.0 版本中已被废弃,并在 PHP 7.0.0 版本中被完全删除。因此,下面所说的符号转义和效果均指 PHP 中启用魔术引号时的情况。 魔术引号会自动将以下符号转义: 1. 单引号(')和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值