PHP中 Magic quotes

最新推荐文章于 2024-08-10 10:59:41 发布
最新推荐文章于 2024-08-10 10:59:41 发布
阅读量193 收藏
点赞数
分类专栏: PHP 文章标签: php 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yufeng_0924/article/details/84240122
版权

 

什么是 Magic Quotes?

Magic Quotes 就是把用户输入的敏感字符自动进行转义的一个操作选项,它会根据需要对敏感字符进行转义。当 Magic Quotes 打开的时候,所有的'(单引号),"(双引号),\(反斜杠)和NULL字符都会被添加反斜杠进行转义,这样产生效果就相当于使用addslashes()函数。

 

一共有三个 magic quote 选项:

 

magic_quotes_gpc:作用于 HTTP 请求所发送的数据(GET, POST, COOKIE),运行时不能被改变,在 PHP 中默认值为on。 PHP函数 get_magic_quotes_gpc() 可以用来查看 magic_quotes_gpc 配置。返回1,则magic_quotes_gpc=on;返回0, magic_quotes_gpc=off。 magic_quotes_gpc 默认设置为on,这样PHP引擎自动的转义Get Post Cookie数据中的敏感字符,等价于手工调用addslashes()。主要是为了方便PHP初学者,以应对日益严重的sql注入攻击。但是设置为on 有性能上的缺点,另外有些情况下,我们不需要对特殊字符转义,设置为on反而是帮了倒忙。综合利弊,在实际应用中,应该设置 magic_quotes_gpc 为on。

 

magic_quotes_runtime:如果打开的话,大部份内部函数,包括数据库和文本文件,所返回的数据都会被反斜杠进行转义。该选项能在运行的时候被改变,在 PHP 中的默认值为off。 PHP函数set_magic_quotes_runtime(int new_setting),get_magic_quotes_runtime() 分别用来设置和获取magic_quotes_runtime选项值。 magic_quotes_runtime 应该在 php.ini 设置为off,在特殊情况下,可以手工调用set_magic_quotes_runtime(1) 打开选项。

 

magic_quotes_sysbase:如果打开的话,将会使用单引号对单引号进行转义而非反斜框。这时magic_quotes_gpc将会被忽略。换而言之,如果同时打开两个选项的话,单引号将会被转义成''。 而双引号、反斜杠、 NULL 字符将不会进行转义。 magic_qutoes_sysbase 应该在 php.ini 设置为off。

 

 

 

为什么使用 Magic quotes

 

方便快捷

PHP 的设计者在设计之初的构想就是能够快速方便的编程。例如插入数据库时,Magic quotes 会自动将数据转义,这很方便。

 

对初学者有利

Magic quotes 可以从一定程度上,让初学者带离脚本的安全风险。例如在没有任何保护措施的代码下,开启了 Magic quotes 后会少很多的风险,例如注入问题。当然,单一使用此方法,并不能完全阻止此类安全问题。

“我没有权限去关闭”

很显然你已经可能意识到了这个问题,但是主机空间并非完全由自己控制。

为什么不使用 Magic quotes

 

可移植性

无论此功能是否开启,它都会影响脚本的可移植性,因为它影响我们后续过滤数据的操作。

 

性能问题

在获取所有的外部数据之前都会被转义,这无疑会增加运行时的花销(而且并不是所有的数据都需要转义)。

 

造成困惑

 

正如上述所言,并非所有的数据都需要被转义。有可能出现的一种情况,就是当你为了获取未被转义的数据,而“疯狂的”使用 stripslashes 函数。

 

PHP6 已经不支持

PHP 的设计者显然已经意识到了自己的“错误”,所以在 PHP6 中已经将其废弃。

如何禁用 Magic quotes

按照本人观点,使用 php.ini 配置文件全局禁用 Magic quotes 是最靠谱的。参考下面的代码

 

 

; Magic quotes
;
; Magic quotes for incoming GET/POST/Cookie data.
magic_quotes_gpc = Off
; Magic quotes for runtime-generated data, e.g. data from SQL, from exec(), etc.
magic_quotes_runtime = Off
; Use Sybase-style magic quotes (escape ' with '' instead of ').
magic_quotes_sybase = Off

然而线上的主机可能无法让你修改 php.ini 文件,那么可以使用 .htaccess 文件禁用,加入下面的代码

php_flag magic_quotes_gpc Off

上述可移植的代码而言,无论是否禁用 magic_quotes,数据必须保持一致。那么下面的代码可以帮助您

<?php
if (get_magic_quotes_gpc()) {
    function stripslashes_deep($value) {
        $value = is_array($value) ?
            array_map('stripslashes_deep', $value) :
            stripslashes($value);
        return $value;
    }

    $_GET     = array_map('stripslashes_deep', $_GET);
    $_POST    = array_map('stripslashes_deep', $_POST);
    $_COOKIE  = array_map('stripslashes_deep', $_COOKIE);
    $_REQUEST = array_map('stripslashes_deep', $_REQUEST);
}

 

 

 

 

 

 

 

 

 

 

 

yufeng_0924
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
深入PHP magic quotes的详解
10-27
本篇文章是对phpmagic quotes进行了详细的分析介绍,需要的朋友参考下
phpget_magic_quotes_gpc()函数说明
12-18
PHP编程语言,`get_magic_quotes_gpc()`是一个非常重要的函数,主要用于处理用户通过GET、POST或COOKIE方式提交的数据。这个函数的核心作用是检查PHP的配置选项`magic_quotes_gpc`的状态,该选项决定了PHP是否会...
php magic quotes_深入PHP magic quotes的详解_PHP教程
weixin_31968639的博客
03-08 146
特地查看了下手册,关于php magic quotes,常见的几个设置如下,magic_quotes_gpc,magic_quotes_sybase,magic_quote_runtime,这几个函数是在php.ini去配置的,从手册可以看出从php5.3后已经废除了这些特性,所以强烈大家不要使用,在php.ini关闭它。这些函数的作用是对数据进行转义。防止sql注入的时候,很多人会这样写...
magic_quote
weixin_34288121的博客
03-18 84
魔术引号的作用是将提交的数据自动进行转义。这个做法是为了安全考虑,但是也有很多不好的方面。毕竟提交的数据并不是全部都需要转义的,转以后,提取出来还得再去处转义符号。 魔术引号 开启后,所有提交的数据都会被转义,具体的转义内容,包括‘(单引号),“(双引号),(反斜线)和 NULL 字符都会被自动加上一个反斜线进行转义。 从安全上说,这样可以防止一些不当...
什么是 Magic Quotes
04-20 93
Magic Quotes 就是把输入 PHP 敏感字符自动进行转义的一个操作选项。它会根据需要对没有被 magic quotes处理的敏感字符进行转义。 当 Magic Quotes 打开的时候,所有的'(单引号),"(双引号),\(反斜杠)和NULL字符都会被添加反斜杠进行转义。这样产生效果就相当于使用addslashes()函数。 一共有三个 magic quote 选项: ...
关于magic_quotes
irene1006的专栏
12-05 460
很久没来这了,又变懒了……今天看到这个魔术引号的问题,同事有遇到过,特转载过来,以便以后查询。 php函数有一个get_magic_quotes_gpc()函数,可以得到当前的magic_quotes_gpc配置(0 for off, 1 for on). 在magic_quote=on的情况下(我们的网站基本都是=on),所有$_GET,$_POST,$_REQUEST的变量值,
php 开启魔术单引号,PHP 魔术引号(Magic Quotes)以及 WordPress 的处理方式
weixin_32211243的博客
03-21 203
魔术引号(Magic Quotes)魔术引号(Magic Quotes)是一个自动将进入 PHP 脚本的数据进行转义的过程。最好在编码时不要转义而在运行时根据需要而转义。当魔术引号打开时,所有的 \’(单引号),\”(双引号),\\(反斜线)和 NULL 字符都会被自动加上一个反斜线进行转义。这和 addslashes() 作用完全相同。PHP 一共有三个魔术引号指令:magic_quotes_g...
php magic quotes_PHPmagic quotes说明
weixin_29964487的博客
03-08 159
特地查看了下手册,关于php magic quotes,常见的几个设置如下,magic_quotes_gpc,magic_quotes_sybase,magic_quote_runtime,这几个函数是在php.ini去配置的,从手册可以看出从php5.3后已经废除了这些函数,所以强烈大家不要使用,在php.ini关闭它。 这些函数的作用是对数据进行转义。防止sql注入的时候,很多人会这样...
php magic quotes_深入PHP magic quotes的详解
weixin_30215717的博客
03-08 101
特地查看了下手册,关于php magic quotes,常见的几个设置如下,magic_quotes_gpc,magic_quotes_sybase,magic_quote_runtime,这几个函数是在php.ini去配置的,从手册可以看出从php5.3后已经废除了这些特性,所以强烈大家不要使用,在php.ini关闭它。这些函数的作用是对数据进行转义。防止sql注入的时候,很多人会这样写...
基于PHP magic_quotes_gpc的使用方法详解
10-27
本篇文章是对PHPmagic_quotes_gpc的使用方法进行了详细的分析介绍,需要的朋友参考下
浅谈开启magic_quote_gpc后的sql注入攻击与防范
IT技术宅-北方的刀郎
03-21 1585
浅谈开启magic_quote_gpc后的sql注入攻击与防范作者: 字体:[增加 减小] 类型:转载通过启用php.ini配置文件的相关选项,就可以将大部分想利用SQL注入漏洞的骇客拒绝于门外通过启用php.ini配置文件的相关选项,就可以将大部分想利用SQL注入漏洞的骇客拒绝于门外。 开启magic_quote_gpc=on之后,能实现addslshes()和stripslashes()这
LNMP环境搭建论坛
qq_63652578的博客
08-07 968
root@Rocky8-node1 ~]# mv upload/* /usr/share/nginx/html/ #把upload下的所有内容移动到/usr/share/nginx/html/[root@Rocky8-node1 ~]# sed -i '/^group =/ c \group = nginx' /etc/php-fpm.d/www.conf #将组改为nginx。
[FSCTF 2023]细狗2.0
2301_81462177的博客
08-09 213
cmd=ls${lFS}-1剁FSS9-后面加个$与{类似,起截断作用,$9是当前系统shel进程第九个参数持有者始终为空字符串。cmd=lsSlFS-l单纯$IFS2,IFS2被bash解释器当做变量名,输不出来结果,加一个{}就固定了变量名。ca\t/*123*/f* 发现不可以,看题解后发现使用${IFS}绕过。cmd=ls$lFs$9-1 (这里1到9应该都可以)ca\t$IFS/f* 可得flag。尝试输入cat /f*
ctfhub文件包含
a666666688的博客
08-07 479
文件的内容,通常这个文件包含一些敏感信息,比如CTF比赛的flag。这样就可以通过浏览器或其他HTTP客户端看到。,直接访问这个URL将导致服务器读取并返回。
代码随想录算法训练营Day35 | 01背包问题 | 416. 分割等和子集
最新发布
wonderlandlja的博客
08-10 101
【代码】代码随想录算法训练营Day35 | 01背包问题 | 416. 分割等和子集。
linux:phpstudy安装及日常命令使用[表格]
h1008685的博客
08-06 378
linux——phpstudy安装及日常使用命令
文件上传漏洞 思路方法总结
hmysn的博客
08-08 873
简单来说就是一种校验机制,当文件进行上传的时候对文件的Content-Type进行校验,如果是白名单所允许的类型则能够成功上传,如果不是则无法上传。上传文件时,如果服务器端代码未对客户端上传的文件进行严格的验证和过滤,就容易造成可以上传任意文件的情况,包括上传脚本文件(.asp、.aspx 、.php 、 .jsp等格式的文件)文件后缀绕过攻击的原理是虽然服务器端代码限制了某些后缀的文件上传,但是有些版本的apache是允许解析其他文件后缀的,这个和上面的.htaccess文件类似,可以修改。
nginx和php工具的使用
m0_71483678的博客
08-07 678
1、查看本地缓存,命令:ipconfig /displaydns2、如果没有查到A记录,查host文件,根域服务器会告诉你去找.com顶级域的dns服务器去解析,然后.com的服务器又把baidu.com的dns地址告诉你,最终找到baidu.com的dns,并且查询到对应服务器的IP,然后返回给你的路由器,最后再返回给你(迭代查询)成功用域名www.ouya.com访问到了demo.html网页!
magic_quotes_gpc
05-01
magic_quotes_gpc是一个在旧版本的PHP存在的特性,它用于自动转义通过GET、POST和COOKIE方式传递的数据。它的作用是为了防止SQL注入和其他安全漏洞。 当magic_quotes_gpc开启时,PHP会自动对传递的数据进行转义,将特殊字符添加反斜杠。这样可以确保数据在存储到数据库或者输出到页面时不会引起意外的问题。 然而,由于magic_quotes_gpc的设计存在一些问题,因此在PHP 5.4.0版本被废弃,并在PHP 5.4.0之后的版本移除。这是因为它可能导致数据处理不一致,而且在新版本的PHP已经有更好的安全机制来处理输入数据。 如果你在使用较新版本的PHPmagic_quotes_gpc应该是默认关闭的。如果你需要使用类似的功能来确保数据安全,建议使用更现代化的方法,比如使用预处理语句或者转义函数来处理输入数据。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值