magic_quotes_gpc, magic_quotes_runtime 和 magic_quotes_sybase

最新推荐文章于 2023-08-01 17:15:41 发布
最新推荐文章于 2023-08-01 17:15:41 发布
阅读量2.3k 收藏
点赞数
分类专栏: php 文章标签: sybase php 数据库 .htaccess 服务器 编程

魔术引号(Magic Quote)是一个自动将进入 PHP 脚本的数据进行转义的过程。最好在编码时不要转义而在运行时根据需要而转义。

什么是魔术引号

当打开时,所有的 '(单引号),"(双引号),\(反斜线)和 NULL 字符都会被自动加上一个反斜线进行转义。这和addslashes() 作用完全相同。

一共有三个魔术引号指令:

  • magic_quotes_gpc影响到 HTTP 请求数据(GET,POST 和 COOKIE)。不能在运行时改变。在 PHP 中默认值为on参见get_magic_quotes_gpc()
  • magic_quotes_runtime如果打开的话,大部份从外部来源取得数据并返回的函数,包括从数据库和文本文件,所返回的数据都会被反斜线转义。该选项可在运行的时改变,在 PHP 中的默认值为off参见set_magic_quotes_runtime()get_magic_quotes_runtime()
  • magic_quotes_sybase如果打开的话,将会使用单引号对单引号进行转义而非反斜线。此选项会完全覆盖magic_quotes_gpc。如果同时打开两个选项的话,单引号将会被转义成''。而双引号、反斜线 和 NULL 字符将不会进行转义。如何取得其值参见ini_get()。    

为什么要用魔术引号

  • 对初学者很有用 魔术引号在 PHP 中用来实现避免初学者的代码更危险。尽管SQL 注入在魔术引号打开的情况下仍然有可能实现,但起码系统的风险减少很多了。
  • 方便使用 当向数据库中插入数据时,魔术引号所做的就是自动对所有的 GET、POST、COOKIE 数据运用addslashes() 函数。

为什么不用魔术引号

  • 可移植性 编程时认为其打开或并闭都会影响到移植性。可以用get_magic_quotes_gpc() 来检查是否打开,并据此编程。
  • 性能 由于并不是每一段被转义的数据都要插入数据库的,如果所有进入 PHP 的数据都被转义的话,那么会对程序的执行效率产生一定的影响。在运行时调用转义函数(如addslashes())更有效率。尽管php.ini-dist 默认打开了这个选项,但是php.ini-recommended 默认却关闭了它,主要是出于性能的考虑。
  • 不便 由于不是所有数据都需要转义,在不需要转义的地方看到转义的数据就很烦。比如说通过表单发送邮件,结果看到一大堆的 \'。针对这个问题,可以使用stripslashes() 函数处理。    

关闭魔术引号

magic_quotes_gpc指令只能在系统级关闭,不能在运行时。也就是说不能用ini_set()

Example #1 在服务器端关闭魔术引号

下面是一个通过 php.ini 文件把这些选项设为 Off的范例。更多信息请参见本手册的怎样修改配置设定

; Magic quotes
;

; Magic quotes for incoming GET/POST/Cookie data.
magic_quotes_gpc = Off

; Magic quotes for runtime-generated data, e.g. data from SQL, from exec(), etc.
magic_quotes_runtime = Off

; Use Sybase-style magic quotes (escape ' with '' instead of \').
magic_quotes_sybase = Off

如果不能修改服务器端的配置文件,使用 .htaccess 也可以。范例如下: 

php_flag magic_quotes_gpc Off

Example #2 在运行时关闭魔术引号

<?php
if (get_magic_quotes_gpc()) {
    function stripslashes_deep($value)
    {
        $value = is_array($value) ?
                    array_map('stripslashes_deep', $value) :
                    stripslashes($value);

        return $value;
    }

    $_POST = array_map('stripslashes_deep', $_POST);
    $_GET = array_map('stripslashes_deep', $_GET);
    $_COOKIE = array_map('stripslashes_deep', $_COOKIE);
    $_REQUEST = array_map('stripslashes_deep', $_REQUEST);
}
?>


相关文章

引用函数magic_quotes_gpc和magic_quotes_runtime的区别和用法(新手推荐)

编写不受魔术引号影响的php应用

PHP 中 magic_quotes_gpc 和 magic_quotes_runtime 的区别,作用和用法

关于 magic_quotes_sybase 问题, 及解决方案

zjl207
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于magic_quotes_gpcmagic_quotes_runtime的区别与使用介绍
10-27
本篇文章小编为大家介绍,基于magic_quotes_gpcmagic_quotes_runtime的区别与使用介绍。需要的朋友参考下
基于PHP magic_quotes_gpc的使用方法详解
10-27
本篇文章是对PHPmagic_quotes_gpc的使用方法进行了详细的分析介绍,需要的朋友参考下
magic_quotes_gpc(魔术引号开关)等函数与数据库安全
a3uRa的一个窝
07-29 9593
magic_quotes_gpc函数在php中的作用是判断解析用户提示的数据,如包括有:post、get、cookie过来的数据增加转义字符“\”,对POST、POST、_POST、__GET以及进行数据库操作的sql进行转义处理,以确保这些数据不会引起程序,特别是数据库语句因为特殊字符引起的污染而出现致命的错误。防止sql注入 当magic_quotes_gpc = On时,输入数据中含单引号...
PHP魔法函数之magic_quotes_gpc
野原新之助
07-06 979
magic_quotes_gpc 魔法函数存在于PHP 5.3.4及以下版本,作用是对POST、GET、Cookie传入的数据进行转义处理,在输入数据的特殊字符如 单引号(')、双引号(")、反斜线(\)与 NULL(NULL 字符)等字符前加入转义字符"\"。
magic_quotes_gpc(魔术引号开关)
weixin_30721077的博客
04-20 581
magic_quotes_gpc函数在php中的作用是判断解析用户提示的数据,如包括有:post、get、cookie过来的数据增加转义字符“\”,以确保这些数据不会引起程序,特别是数据库语句因为特殊字符引起的污染而出现致命的错误。在magic_quotes_gpc = On的情况下,如果输入的数据有单引号(’)、双引号(”)、反斜线(\)与 NULL(NULL 字符)等字符都会被加上反斜线。这些...
PHPmagic_quotes_gpc 配置选项的用法
jkzyx123的博客
08-01 580
然而,需要注意的是,magic_quotes_gpcPHP 7.4.0 版本中被弃用,并从 PHP 8.0.0 起已移除。magic_quotes_gpcPHP 的一个配置选项,它的作用是自动对通过 GET、POST 和 COOKIE 方式传递到脚本中的数据进行转义。如果你的应用程序仍然依赖于 magic_quotes_gpc,建议尽快升级代码,改用更安全的数据处理方式,例如使用参数化查询来防止 SQL 注入,使用过滤器函数或专门的转义函数来处理用户输入的数据。
get_magic_quotes_gpc函数
weixin_34232363的博客
03-21 405
magic_quotes_gpc函数在php中的作用是判断解析用户提示的数据,如包括有:post、get、cookie过来的数据增加转义字符“\”,以确保这些数据不会引起程序,特别是数据库语句因为特殊字符引起的污染而出现致命的错误   在magic_quotes_gpc=On的情况下,如果输入的数据有 单引号(’)、双引号(”)、反斜线()与 NUL(NULL 字符)等字符都会被加上反斜线。...
php magic_quotes_gpc的一点认识与分析
10-30
最近一直在做一个文章发布系统,做了改,改了做,一直到现在还没竣工.... 为了达到更好的兼容性,其中的程序涉及到了magic_quotes_gpc,看了下手册,又找了些资料,分析了下,分享给大家。
php中get_magic_quotes_gpc()函数说明
12-18
get_magic_quotes_gpc函数是一个用来判断是否为用户提供的数据增加斜线了,这个在php.ini配置文件中哦,下面我来介绍一下get_magic_quotes_gpc()函数说明. get_magic_quotes_gpc函数介绍 取得 PHP 环境变数 magic_...
PHP5下$_SERVER变量不再受magic_quotes_gpc保护的弥补方法
10-27
php5的环境中我们的$_SERVER变量将不再受magic_quotes_gpc的保护,至于程序该如何加强自己的安全性,下面我们总结了怎么保护php中的cookie,get,post,files数据哦,有需要的朋友可参考一下
magic_quotes_sybase(魔术引号开关)
weixin_30662849的博客
04-20 387
magic_quotes_sybase,如果该选项在php.ini文件中是唯一开启的话,将只会转义%00为\0(即null字符)。此选项会完全覆盖magic_quotes_gpc。如果同时开启这两个选项的话,单引号将会被转义成两个单引号,%00会被转义为\0。而双引号、反斜线将不会进行转义。接下来,我们来证明一下下面两句话:当magic_quotes_gpc关闭,magic_quotes_syba...
sql注入 mysql&&php常用函数总结
weixin_43745072的博客
11-23 245
information_schema information_schema这这个数据库中保存了MySQL服务器所有数据库的信息。 如数据库名,数据库的表,表栏的数据类型与访问权限等。 再简单点,这台MySQL服务器上,到底有哪些数据库、各个数据库有哪些表, 每张表的字段类型是什么,各个数据库要什么权限才能访问,等等信息都保存在information_schema里面。 information_schema的表schemata中的列schema_name记录了所有数据库的名字 information_sc.
浅谈开启magic_quotes_gpc后的sql注入攻与防
风的专栏
11-22 9550
通过启用php.ini配置文件中的相关选项,就可以将大部分想利用SQL注入漏洞的骇客拒绝于门外。        开启magic_quotes_gpc=on之后,能实现addslshes()和stripslashes()这两个函数的功能。在PHP4.0及以上的版本中,该选项默认情况下是开启的,所以在PHP4.0及以上的版本中,就算PHP程序中的参数没有进行过滤,PHP系统也会对每一个通过GET、P...
将一般字符串转化为SQL语句所需要的形式
weixin_34232744的博客
04-25 777
<?php function GetSQLValuestring ($theValue ,$thetype) { $theValue=(!get_magic_quotes_gpc()) ?addslashes() : $theValue; switch ($thetype) { case "text": $theValue=($...
魔法引用函数magic_quotes_gpcmagic_quotes_runtime的区别和用法
无界编程
03-23 2900
PHP提供两个方便我们引用数据的魔法引用函数magic_quotes_gpcmagic_quotes_runtime,这两个函数如果在php.ini设置为ON的时候,就会为我们引用的数据碰到单引号'和双引号"是自动加上反斜线,帮我们自动转译符号,确保数据操作的正确运行,可是我们在php不同的版本或者不同的服务器配置下,有的magic_quotes_gpcmagic_quotes_runtime
关于magic_quotes_sybase
12-09 1630
转载自:http://blog.163.com/wangzhenbo85@126/blog/static/101363282201192242358226/ 当php.ini设置magic_quotes_sybase为on时会覆盖magic_quotes_gpc为on的处理,然而magic_quotes_sybase仅仅是转义了nullbyte和把'变成了''  set_magic_quo
php魔法引用,php 魔法引用magic_quotes_gpc()函数用法
weixin_30005929的博客
03-18 247
magic_quotes_gpc是用来判断我们apache是不是开启了自动转译功能了,为了让各位更好的理解魔法引用magic_quotes_gpc()函数用法下面来给各位总结与举一些例子。magic_quotes_gpc的设定值将会影响通过Get/Post/Cookies获得的数据这两天接入百度SDK处理支付回调时碰到了签名通不过的情况,签名规则很简单,md5(transdata + appkey...
php gpc开关设置,PHP magic_quotes_gpc的详细使用方法
weixin_35677144的博客
03-24 1463
php中的magic_quotes_gpc是配置在php.ini中的,他的作用类似addslashes(),就是对输入的字符创中的字符进行转义处理。他可以对$_POST、$__GET以及进行数据库操作的sql进行转义处理,防止sql注入。对于PHP magic_quotes_gpc=on的情况,我们可以不对输入和输出数据库的字符串数据作addslashes()和stripslashes()的操作,...
magic_quotes_gpc
最新发布
05-01
magic_quotes_gpc是一个在旧版本的PHP中存在的特性,它用于自动转义通过GET、POST和COOKIE方式传递的数据。它的作用是为了防止SQL注入和其他安全漏洞。 当magic_quotes_gpc开启时,PHP会自动对传递的数据进行转义,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值