魔術引用發生作用是在傳遞$_GET,$_POST,$_COOKIE時
1.
條件: magic_quotes_gpc=off
寫入數據庫的字符串未經過任何過濾處理。從數據庫讀出的字符串也未作任何處理。
數據: $data=”snow”’’sun” ; (snow和sun之間是四個連續的單引號).
操作: 將字符串:”snow”’’sun” 寫入數據庫,
結果: 出現sql語句錯誤,mysql不能順利完成sql語句,寫入數據庫失敗。
數據庫保存格式:無數據。
輸出數據格式:無數據。
說明: 對於未經處理的單引號在寫入數據庫時會使sql語句發生錯誤。
2.
條件: magic_quotes_gpc=off
寫入數據庫的字符串經過函數addlashes()處理。從數據庫讀出的字符串未作任何處理。
數據: $data=”snow”’’sun” ; (snow和sun之間是四個連續的單引號).
操作: 將字符串:”snow”’’sun” 寫入數據庫,
結果: sql語句順利執行,數據成功寫入數據庫
數據庫保存格式:snow”’’sun (和輸入一樣)
輸出數據格式:snow”’’sun (和輸入一樣)
說明: addslashes()函數將單引號轉換為’的轉義字符使sql語句成功執行,
但’並未作為數據存入數據庫,數據庫保存的是snow”’’sun 而並不是我們想象的snow’\’’\’sun
3.
條件: magic_quotes_gpc=on
寫入數據庫的字符串未經過任何處理。從數據庫讀出的字符串未作任何處理。
數據: $data=”snow”’’sun” ; (snow和sun之間是四個連續的單引號).
操作: 將字符串:”snow”’’sun” 寫入數據庫,
結果: sql語句順利執行,數據成功寫入數據庫
數據庫保存格式:snow”’’sun (和輸入一樣)
輸出數據格式:snow”’’sun (和輸入一樣)
說明: magic_quotes_gpc=on 將單引號轉換為’的轉義字符使sql語句成功執行,
但’並未作為數據入數據庫,數據庫保存的是snow”’’sun而並不是我們想象的snow’\’’\’sun。
4.
條件: magic_quotes_gpc=on
寫入數據庫的字符串經過函數addlashes()處理。從數據庫讀出的字符串未作任何處理。
數據: $data=”snow”’’sun” ; (snow和sun之間是四個連續的單引號).
操作: 將字符串:”snow”’’sun” 寫入數據庫,
結果: sql語句順利執行,數據成功寫入數據庫
數據庫保存格式:snow’\’’\’sun (添加了轉義字符)
輸出數據格式:snow’\’’\’sun (添加了轉義字符)
說明: magic_quotes_gpc=on 將單引號轉換為’的轉義字符使sql語句成功執行,
addslashes又將即將寫入數據庫的單引號轉換為’,後者的轉換被作為數據寫入
數據庫,數據庫保存的是snow’\’’\’sun
總結如下:
1. 對於magic_quotes_gpc=on的情況,
我們可以不對輸入和輸出數據庫的字符串數據作
addslashes()和stripslashes()的操作,數據也會正常顯示。
如果此時你對輸入的數據作了addslashes()處理,
那麼在輸出的時候就必須使用stripslashes()去掉多余的反斜槓。
2. 對於magic_quotes_gpc=off 的情況
必須使用addslashes()對輸入數據進行處理,但並不需要使用stripslashes()格式化輸出
因為addslashes()並未將反斜槓一起寫入數據庫,只是幫助mysql完成了sql語句的執行。
補充:
magic_quotes_gpc 作用范圍是:WEB客戶服務端;作用時間:請求開始時,例如當腳本運行時.
magic_quotes_runtime 作用范圍:從文件中讀取的數據或執行exec()的結果或是從SQL查詢中得到的;作用時間:每次當腳本訪問運行狀態中產生的數據
============ magic_quotes_gpc和magic_quotes_runtime的區別和用法 =============
PHP提供兩個方便我們引用數據的魔法引用函數magic_quotes_gpc和magic_quotes_runtime,這兩個函數如果在php.ini設置為ON的時候,就會為我們引用的數據碰到單引號’和雙引號”以及反斜線 是自動加上反斜線,幫我們自動轉譯符號,確保數據操作的正確運行,可是我們在php不同的版本或者不同的服務器配置下,有的magic_quotes_gpc和magic_quotes_runtime設置為on,有的又是off,所以我們寫的程序必須符合on和off兩種情況。那麼magic_quotes_gpc和magic_quotes_runtime兩個函數有什麼區別呢?看下面的說明:
magic_quotes_gpc
作用范圍是:WEB客戶服務端;
作用時間:請求開始是,例如當腳本運行時.
magic_quotes_runtime
作用范圍:從文件中讀取的數據或執行exec()的結果或是從SQL查詢中得到的;
作用時間:每次當腳本訪問運行狀態中產生的數據.
所以
magic_quotes_gpc的設定值將會影響通過Get/Post/Cookies獲得的數據
magic_quotes_runtime的設定值將會影響從文件中讀取的數據或從數據庫查詢得到的數據
例子說明:
復制內容到剪貼板
代碼:
<form action="" method="post" >
STR:<input type="text" name="str">
<input type="submit">
</form>
<?php
/* 我們在表單裡填寫: " 這些符號,如果magic_quotes_gpc沒有開啟,那麼他們不會被反斜槓轉義 */
echo 現在通過POST傳遞過來的值是: ,$_POST[str], <br />;
if(get_magic_quotes_gpc()) { // 檢查magic_quotes_gpc是否打開,如果沒有打開,用addslashes進行轉義
$str = $_POST[str];
} else {
$str = addslashes($_POST[str]);
}
echo 這裡是轉義過後的: ,$str, <hr />;
$sql = "INSERT INTO lastnames (lastname) VALUES ($str)";
//=====================================================================================
//-----magic_quotes_gpc只會轉義: 通過Get/Post/Cookies獲得的數據
//-----magic_quotes_runtime會轉義:從文件中讀取的數據或執行exec()的結果或是從SQL查詢中得到的
//=====================================================================================
$data = implode(file(try.php)); // 我們在裡面依然寫"這幾個字符,用來測試
echo 這裡是try.php的數據,;
if (get_magic_quotes_runtime()) {
$data = $data;
echo 被系統自帶轉義的 .$data;
} else {
echo 被addslashes轉義了的 .$data = addslashes($data);
}
$sql = "INSERT INTO lastnames (lastname) VALUES ($data)";
echo <br />SQL語句為:<br /> ,$sql;
//---入庫都轉義了,但是多余了反斜槓,我們要讀出來是原來的數據時候使用stripslashes()去掉反斜槓
//---stripslashes()和addslashes()作用相反
?>
最關鍵的區別是就是上面提到的2點:他們針對的處理對象不同
magic_quotes_gpc的設定值將會影響通過Get/Post/Cookies獲得的數據
magic_quotes_runtime的設定值將會影響從文件中讀取的數據或從數據庫查詢得到的數據
在這裡順便在提幾個想關聯的函數:
set_magic_quotes_runtime():
設置magic_quotes_runtime值. 0=關閉.1=打開.默認狀態是關閉的.可以通過 echo phpinfo(); 查看magic_quotes_runtime
get_magic_quotes_gpc():
查看magic_quotes_gpc值.0=關閉.1=打開.
get_magic_quotes_runtime():
查看magic_quotes_runtime值。0=關閉.1=打開.
注意的是沒有 set_magic_quotes_gpc()這個函數,就是不能在程序裡面設置magic_quotes_gpc的值。
