如果此時你對輸入的數據作了addslashes()處理,那麼在輸出的時候就必須使用stripslashes()去掉多余的反斜槓。
2. 對於PHP magic_quotes_gpc=off 的情況
必須使用addslashes()對輸入數據進行處理,但並不需要使用stripslashes()格式化輸出,因為addslashes()並未將反斜槓一起寫入數據庫,只是幫助mysql完成了sql語句的執行。
補充:
PHP magic_quotes_gpc作用范圍是:WEB客戶服務端;作用時間:請求開始時,例如當腳本運行時.
magic_quotes_runtime 作用范圍:從文件中讀取的數據或執行exec()的結果或是從SQL查詢中得到的;作用時間:每次當腳本訪問運行狀態中產生的數據
例:
1.
條件: PHP magic_quotes_gpc=off
寫入數據庫的字符串未經過任何過濾處理。從數據庫讀出的字符串也未作任何處理。
數據: $data=”snow”’’sun” ; (snow和sun之間是四個連續的單引號).
操作: 將字符串:”snow”’’sun” 寫入數據庫,
結果: 出現sql語句錯誤,mysql不能順利完成sql語句,寫入數據庫失敗。
數據庫保存格式:無數據。
輸出數據格式:無數據。
說明: 對於未經處理的單引號在寫入數據庫時會使sql語句發生錯誤。
2.
條件: PHP magic_quotes_gpc=off
數據: $data=”snow”’’sun” ; (snow和sun之間是四個連續的單引號).
操作: 將字符串:”snow”’’sun” 寫入數據庫,
結果: sql語句順利執行,數據成功寫入數據庫
數據庫保存格式:snow”’’sun (和輸入一樣)
輸出數據格式:snow”’’sun (和輸入一樣)
說明: addslashes()函數將單引號轉換為\’的轉義字符使sql語句成功執行,
但\’並未作為數據存入數據庫,數據庫保存的是snow”’’sun 而並不是我們想象的snow\’\’\’\’sun
3.
條件: PHP magic_quotes_gpc=on
寫入數據庫的字符串未經過任何處理。從數據庫讀出的字符串未作任何處理。
數據: $data=”snow”’’sun” ; (snow和sun之間是四個連續的單引號).
操作: 將字符串:”snow”’’sun” 寫入數據庫,
結果: sql語句順利執行,數據成功寫入數據庫
數據庫保存格式:snow”’’sun (和輸入一樣)
輸出數據格式:snow”’’sun (和輸入一樣)
說明: PHP magic_quotes_gpc=on 將單引號轉換為\’的轉義字符使sql語句成功執行,
但\’並未作為數據入數據庫,數據庫保存的是snow”’’sun而並不是我們想象的snow\’\’\’\’sun。
4.
條件: PHP magic_quotes_gpc=on
數據: $data=”snow”’’sun” ; (snow和sun之間是四個連續的單引號).
操作: 將字符串:”snow”’’sun” 寫入數據庫,
結果: sql語句順利執行,數據成功寫入數據庫
數據庫保存格式:snow\’\’\’\’sun (添加了轉義字符)
輸出數據格式:snow\’\’\’\’sun (添加了轉義字符)
說明: PHP magic_quotes_gpc=on 將單引號轉換為\’的轉義字符使sql語句成功執行,
addslashes又將即將寫入數據庫的單引號轉換為\’,後者的轉換被作為數據寫入
數據庫,數據庫保存的是snow\’\’\’\’sun
注意:
這個特性在PHP5.3.0中已經廢棄並且在5.4.0中已經移除了(This feature has been DEPRECATED as of PHP 5.3.0 andREMOVED as of PHP 5.4.0.)。所以沒有理由再使用魔術引號,因為它不再是 PHP 支持的一部分。 不過它幫助了新手在不知不覺中寫出了更好(更安全)的代碼。 但是在處理代碼的時候,最好是更改你的代碼而不是依賴於魔術引號的開啟。