本文详细介绍了PHP中的MagicQuotes功能,解释了其如何通过自动转义敏感字符来保护网站免受SQL注入攻击。文中还探讨了三种不同的MagicQuotes配置选项及其工作原理。
Magic Quotes 就是把输入 PHP 敏感字符自动进行转义的一个操作选项。它会根据需要对没有被 magic quotes处理的敏感字符进行转义。
当 Magic Quotes 打开的时候,所有的'(单引号),"(双引号),\(反斜杠)和NULL字符都会被添加反斜杠进行转义。这样产生效果就相当于使用addslashes()函数。
一共有三个 magic quote 选项:
* magic_quotes_gpc
作用于 HTTP 请求所发送的数据(GET, POST, and COOKIE),运行时不能被改变,在 PHP 中默认值为on
参见get_magic_quotes_gpc().
* magic_quotes_runtime
如果打开的话,大部份内部函数,包括数据库和文本文件,所返回的数据都会被反斜杠进行转义。该选项能在运行的时候被改变,在 PHP 中的默认值为off
参见set_magic_quotes_runtime()和get_magic_quotes_runtime().
* magic_quotes_sybase
如果打开的话,将会使用单引号对单引号进行转义而非反斜框。这时magic_quotes_gpc将会被忽略。换而言之,如果同时打开两个选项的话,单引号将会被转义成''。 而双引号、反斜杠、 NULL 字符将不会进行转义。
参见ini_get()是如何得到这个选项的值的。
当 Magic Quotes 打开的时候,所有的'(单引号),"(双引号),\(反斜杠)和NULL字符都会被添加反斜杠进行转义。这样产生效果就相当于使用addslashes()函数。
一共有三个 magic quote 选项:
* magic_quotes_gpc
作用于 HTTP 请求所发送的数据(GET, POST, and COOKIE),运行时不能被改变,在 PHP 中默认值为on
参见get_magic_quotes_gpc().
* magic_quotes_runtime
如果打开的话,大部份内部函数,包括数据库和文本文件,所返回的数据都会被反斜杠进行转义。该选项能在运行的时候被改变,在 PHP 中的默认值为off
参见set_magic_quotes_runtime()和get_magic_quotes_runtime().
* magic_quotes_sybase
如果打开的话,将会使用单引号对单引号进行转义而非反斜框。这时magic_quotes_gpc将会被忽略。换而言之,如果同时打开两个选项的话,单引号将会被转义成''。 而双引号、反斜杠、 NULL 字符将不会进行转义。
参见ini_get()是如何得到这个选项的值的。
扫一扫
1048
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
