php中數據的魔法引用函數 magic_quotes_gpc 或 magic_quotes_runtime
設置爲on時,當數據遇到 單引號' 和 雙引號" 以及 反斜線\ NULL時自動加上反斜線,進行自動轉義。
註釋:默認情況下,PHP 指令 magic_quotes_gpc 爲 on,對所有的 GET、POST 和 COOKIE 數據自動運行 addslashes()。不要對已經被 magic_quotes_gpc 轉義過的字符串使用 addslashes(),因爲這樣會導致雙層轉義。遇到這種情況時可以使用函數 get_magic_quotes_gpc() 進行檢測。
magic_quotes_gpc 和 magic_quotes_runtime二者的區別:
magic_quotes_gpc
作用範圍是:WEB客戶服務端;
作用時間:請求開始的時候,例如當腳本運行時。
magic_quotes_runtime
此函數是該函數的別名: set_magic_quotes_runtime()
作用範圍:從文件中讀取的數據或執行exec()的結果或是從SQL查詢中得到的;
作用時間:每次當腳本訪問運行狀態中產生的數據。
由此我們可以看出:
magic_quotes_gpc的設定值將會影響通過GET、POST 和 COOKIE獲得的數據
magic_quotes_runtime的設定值將會影響從文件中讀取的數據或從數據庫查詢得到的數據
下面是幾個相關的函數:
set_magic_quotes_runtime():
設置magic_quotes_runtime值. 0或者false代表“關閉”.1或者true代表“打開”.默認狀態是關閉的.可以通過 echo phpinfo()查看magic_quotes_runtime的當前狀態。
get_magic_quotes_gpc():
查看magic_quotes_gpc值.0或者false代表“關閉”.1或者true代表“打開”。
get_magic_quotes_runtime():
查看magic_quotes_runtime值。0或者false代表“關閉”.1或者true代表“打開”。
需要特別注意的是不存在set_magic_quotes_gpc()這個函數,就是不能在程序裏面設置magic_quotes_gpc的值。
由於兩個值的設置問題,會給編程時造成部分混淆或者會多加一次轉義,針對這種情況,需要在程序開始的時候進行設置和判斷,或者默認配置
這兩個值都關閉。轉義部分通過程序來執行。
保證數據插入數據時正常 通常會使用 addslashes 這個來處理, 數據讀出時多用 stripslashes 來去掉加的反斜槓
php中類似的字符轉換或者置取的函數
ini_get 獲取一些配置選項的值
addslashes 指定的預定義字符前添加反斜槓
stripslashes 刪除由 addslashes() 函數添加的反斜槓
htmlspecialchars 把一些預定義的字符轉換爲 HTML 實體
htmlspecialchars_decode 把一些預定義的 HTML 實體轉換爲字符
html_entity_decode() 把 HTML 實體轉換爲字符
htmlentities() 把字符轉換爲 HTML 實體
下面是個小例子,驗證字符轉義:
- <?php
- echo "<pre>";
- print_r ($_SERVER);
- //獲取php.ini裏面的magic quotes gpc配置。這個開啓後會把變量值自動加上\來轉義一些字符
- echo get_magic_quotes_gpc(),PHP_EOL; // 1
- echo $_GET['lastname']; // O\'reilly
- echo addslashes($_GET['lastname']); // O\\\'reilly
- echo $_GET['lastname']."000"."\n\r";
- if (get_magic_quotes_gpc()) {
- $lastname = stripslashes($_GET['lastname']);
- echo $lastname."111"."<br />";
- }
- else {
- $lastname = $_GET['lastname'];
- echo $lastname."222"."<br />";
- }
- ?>