程序師世界是廣大編程愛好者互助、分享、學習的平台,程序師世界有你更精彩!
首頁
編程語言
C語言|JAVA編程
Python編程
網頁編程
ASP編程|PHP編程
JSP編程
數據庫知識
MYSQL數據庫|SqlServer數據庫
Oracle數據庫|DB2數據庫
 程式師世界 >> 編程語言 >> 網頁編程 >> PHP編程 >> 關於PHP編程 >> php get_magic_quotes_gpc()函數用法介紹

php get_magic_quotes_gpc()函數用法介紹

編輯:關於PHP編程

magic_quotes_gpc函數在php中的作用是判斷解析用戶提示的數據,如包括有:post、get、cookie過來的數據增加轉義字符“\”,以確保這些數據不會引起程序,特別是數據庫語句因為特殊字符引起的污染而出現致命的錯誤  

在magic_quotes_gpc=On的情況下,如果輸入的數據有

單引號(’)、雙引號(”)、反斜線()與 NUL(NULL 字符)等字符都會被加上反斜線。這些轉義是必須的,如果這個選項為off,那麼我們就必須調用addslashes這個函數來為字符串增加轉義。

正是因為這個選項必須為On,但是又讓用戶進行配置的矛盾,在PHP6中刪除了這個選項,一切的編程都需要在magic_quotes_gpc=Off下進行了。在這樣的環境下如果不對用戶的數據進行轉義,後果不僅僅是程序錯誤而已了。同樣的會引起數據庫被注入攻擊的危險。所以從現在開始大家都不要再依賴這個設置為On了,以免有一天你的服務器需要更新到PHP6而導致你的程序不能正常工作。

 代碼如下 復制代碼

當magic_quotes_gpc=On的時候,函數get_magic_quotes_gpc()就會返回1

當magic_quotes_gpc=Off的時候,函數get_magic_quotes_gpc()就會返回0

因此可以看出這個get_magic_quotes_gpc()函數的作用就是得到環境變量magic_quotes_gpc的值。既然在PHP6中刪除了magic_quotes_gpc這個選項,那麼在PHP6中這個函數我想也已經不復存在了。


php 判斷是否開啟get_magic_quotes_gpc功能了,以方便我們是否決定使用addslashes這個函數了。

 代碼如下 復制代碼

function SQLString($c, $t){
 $c=(!get_magic_quotes_gpc())?addslashes($c):$c;
 switch($t){
  case 'text':
   $c=($c!='')?"'".$c."'":'NULL';
   break;
  case 'search':
   $c="'%%".$c."%%'";
   break;
  case 'int':
   $c=($c!='')?intval($c):'0';
   break;
 }
 return $c;
}

預防數據庫攻擊的正確做法

 代碼如下 復制代碼

function check_input($value)

{

// 去除斜槓

if (get_magic_quotes_gpc())

{

$value = stripslashes($value);

}

// 如果不是數字則加引號

if (!is_numeric($value))

{

$value = “‘” . mysql_real_escape_string($value) . “‘”;

}

return $value;

}

$con = mysql_connect(“localhost”, “hello”, “321″);

if (!$con)

{

die(‘Could not connect: ‘ . mysql_error());

}

// 進行安全的 SQL

$user = check_input($_POST['user']);

$pwd = check_input($_POST['pwd']);

$sql = “SELECT * FROM users WHERE

user=$user AND password=$pwd”;

mysql_query($sql);

mysql_close($con);

?>


  1. 上一頁:
  2. 下一頁:
Copyright © 程式師世界 All Rights Reserved