特地查看了下手冊,關於php magic quotes,常見的幾個設置如下,magic_quotes_gpc,magic_quotes_sybase,magic_quote_runtime,這幾個函數是在php.ini中去配置的,從手冊中可以看出從php5.3後已經廢除了這些特性,所以強烈大家不要使用,在php.ini中關閉它。
這些函數的作用是對數據進行轉義。防止sql注入的時候,很多人會這樣寫:
復制代碼 代碼如下:
if(!get_magic_quotes_gpc()){
$post=addslashes($post);
}
如果開啟了它們,會自動給你轉義單引號(')、雙引號(")、反斜線(\)與 NUL(null字符),其實就相當於調用addslashes函數。你可能會說這樣不是很好嘛,安全性更高了,但是,你考慮代碼移植性了嗎?另外,對於上所有gpc($_GET,$_POST,$_COOKIE)的數據你都進行轉義是否有必要?開銷有多大?下面PHP點點通(phpddt.com)就對手冊中關於Magic Quotes的詳細說明:
1.magic_quotes_gpc
magic_quotes_gpc這個是用來設置GPC($_GET、$_POST、$_COOKIE)的魔術引用狀態(在PHP4中也包含$_ENV)。當開啟時,所有的單引號(single-quote),雙引號(double quote),反斜線(backslash)和NUL's會被反斜線自動轉義。當開啟magic_quote_sybase為on時,只有單引號(singgle-quote)會被單引號轉義為'',雙引號、反斜線(backslash)和NUL's不受影響不會被轉義。
2.magic_quote_runtime
magic_quote_runtime如果開啟該選項,許多返回外部數據(數據庫、文本)的函數將會被反斜線(backslash)轉義。如果也開啟magic_quote_sybase,則只有單引號(single-quote)會被單引號轉義。
3.magic_quotes_sybase
magic_quotes_sybase如果設置此選項開啟、在magic_quotes_gpc,magic_quotes_runtime開啟的情況下單引號‘會被單引號'轉移而不是被反斜線\轉義。同時、此設置會完全覆蓋magic_quotes_gpc的設置,即使magic_quotes_gpc被設置為on,雙引號“、反斜線\和NUL's也不會被轉義。
