php get_magic_quotes_gpc() stripslashes()和addslashes()的关系

最新推荐文章于 2021-03-11 17:50:36 发布
最新推荐文章于 2021-03-11 17:50:36 发布
阅读量523 收藏
点赞数 1
文章标签: php
本文深入探讨了PHP中magic_quotes_gpc特性的作用及其对数据处理的影响。解释了在不同设置下(addslashes及stripslashes函数)如何确保数据安全地存取。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

PHP为了安全性,所以引入了个magic_quotes_gpc = On的功能,可以不需要做任何处理就能直接把单引号插入数据库中,那么对于Off时,则需要考虑单引号的问题了,而不是一味地信任运行环境。

magic_quotes_gpc = On时,使用了addslashes()处理后的数据在数据库中将以\'形式保存,如果此时直接输出的话,就会发现比自己期待的内容多了个\,因此stripslashes()出场了,它能把\去掉(区别于str_replace(”\”, “”,$Str))。

magic_quotes_gpc = Off时,使用了addslashes()处理后的数据在数据库中将以'形式保存,没有上面说的有\的问题,addslashes()起到插入数据不出错的作用,如果此时直接输出的话,数据正常。不需要再用stripslashes()。addslashes()和stripslashes()正好是相反的,直接记忆:addslashes()加个\,stripslashes()去个\

那么什么时候用呢?

简单说:

当magic_quotes_gpc = On时,系统会自动处理单引号等问题,用不用addslashes()和stripslashes()都没关系,但是如果添加数据时用了addslashes(),那么显示数据时必须要stripslashes()

当magic_quotes_gpc = Off时,系统不会处理单引号等问题,所以插入数据时必须要使用addslashes(),显示数据时则不需要使用stripslashes()。

既然有了分析,做程序时要怎么办呢?根据以上两种情况,可得:

不管magic_quotes_gpc是On还是Off,咱添加数据时都用addslashes(),当On时,必须使用stripslashes(),Off时则不能用stripslashes()。

horzion_L
关注
PHP开启magic扩展,php.ini中Magic_Quotes_Gpc开关设置
weixin_32350433的博客
03-26 1399
Magic_Quotes_Gpc 解释magic_quotes_gpc作用范围是:WEB客户服务端;作用时间:请求开始时。magic_quotes_runtime 作用范围:从文件中读取的数据或执行exec()的结果或是从SQL查询中得到的;作用时间:每次当脚本访问运行状态中产生的数据开关区别2.1对于PHP magic_quotes_gpc=on的情况, 我们可以不对输入输出数据库的字...
php stripslashesaddslashes的区别
weixin_33841503的博客
04-08 115
2019独角兽企业重金招聘Python工程师标准>>> ...
stripslashesaddslashes的区别
weixin_34009794的博客
05-09 130
我们在向mysql写入数据时,比如: mysql_query(”update table set `title`=’kuhanzhu’s blog’”);     那就会出错。同asp时一样,数据库都会对单引号过敏。而addslashes在这个时候就最长面子了,跟asp的replace(”‘”,”””,”kuhanzhu’s blog”)功能一样。 PHP为了安全性,所以引入了个mag...
PHP magic_quotes_gpc addslashes解析
weixin_30414155的博客
07-05 146
默认情况下,PHP 指令magic_quotes_gpc为on,它主要是对所有的 GET、POST COOKIE 数据自动运行addslashes()。不要对已经被 magic_quotes_gpc 转义过的字符串使用addslashes(),因为这样会导致双层转义。遇到这种情况时可以使用函数get_magic_quotes_gpc() 进行检测。 转载于:https://www....
PHPstripslashes() 函数 addslashes() 函数
Cici的博客
05-17 362
一、stripslashes()——删除反斜杠定义用法stripslashes() 函数删除由 addslashes() 函数添加的反斜杠。提示:该函数可用于清理从数据库中或者从 HTML 表单中取回的数据。<?php echostripslashes("Who\'sBillGates?");二、addslashes()——在每个双引号(")前添加反斜杠定义用法addsla...
get_magic_quotes_gpc(),set_magic_quotes_runtime(),addslashes(),stripslashes()详解
weixin_34393428的博客
08-08 171
1、PHP中set_magic_quotes_runtime()函数的作用:此函数来修改PHP.ini文件中的 magic_quotes_runtime 变量的状态,如果想获得magic_quotes_runtime 变量的状态用get_magic_quotes_runtime这个函数如果返回0表示本功能被关闭,如果返回1表示本功能已经开启。 magic_quotes_ru...
phpget_magic_quotes_gpc()函数说明
12-18
总结一下关于`magic_quotes_gpc``get_magic_quotes_gpc()`的关键点: 1. 当`magic_quotes_gpc`开启时,无需额外使用`addslashes()`,但输出时需检查是否需要使用`stripslashes()`去除反斜杠。 2. 若`magic_quotes...
基于magic_quotes_gpcmagic_quotes_runtime的区别与使用介绍
10-27
magic_quotes_gpcPHP中用于自动转义GET、POSTCOOKIE数据的一个选项。当magic_quotes_gpc设置为on时,PHP会自动对所有从客户端获取的数据执行addslashes()函数,即在单引号(')、双引号(")、反斜线(\)前添加反斜线...
基于PHP magic_quotes_gpc的使用方法详解
10-27
magic_quotes_gpc的使用方法主要围绕其开启(on)关闭(off)时的行为。当magic_quotes_gpc设置为on时,所有来自客户端的数据都会自动添加转义字符,开发者不需要再手动使用addslashes()函数进行转义。因此,在...
get_magic_quotes函数详解
05-27
`get_magic_quotes_gpc()` `get_magic_quotes_runtime()` 函数是PHP早期版本中用于自动转义用户提交的数据以防止SQL注入等安全问题的两个函数。本文将详细介绍这两个函数的功能、使用方法以及它们在PHP中的作用。...
关于get_magic_quotes_gpc()函数(交互数据转义的判断)
自强不息
10-18 336
PHPget_magic_quotes_gpc()函数是内置的函数,这个函数的作用就是得到php.ini设置中magic_quotes_gpc选项的值。 那么就先说一下magic_quotes_gpc选项: 如果magic_quotes_gpc=On,PHP解析器就会自动为post、get、cookie过来的数据增加转义字符“\”,以确保这些数据不会引起程序,特别是数据库语句因为特殊字符引...
ThinkPHP -- magic_quotes_gpc()引起的反斜杠问题
aijie6150的博客
10-17 188
magic_quotes_gpc()引起的反斜杠问题,通常是因为没有事先判断它的状态,而对字符串进行处理引起的。 (本文学习借鉴于hechunhua楼主) 一般提供的服务器空间默认PHP 指令 magic_quotes_gpc是on的,也就是打开的。这时候就可以用stripslashes() 函数删除自动添加的反斜杠。 用法就是:比如包含字符串的变量是$str,那...
php stripslashes()函数,PHPstripslashes() 函数 addslashes() 函数
weixin_42468413的博客
03-11 387
本篇将为大家介绍PHPstripslashes() 函数 addslashes() 函数。一、stripslashes()——删除反斜杠定义用法stripslashes() 函数删除由 addslashes() 函数添加的反斜杠。提示:该函数可用于清理从数据库中或者从 HTML 表单中取回的数据。...
get_magic_quotes_gpc()
weixin_30296405的博客
04-12 169
get_magic_quotes_gpc 取得 PHP 环境变数 magic_quotes_gpc 的值,属于 PHP 系统功能。 语法: long get_magic_quotes_gpc(void); 返回值: 长整数 这个函数做什么的? 本函数取得 PHP 环境配置的变量 magic_quotes_gpc (GPC, Get/Post/Cookie) 值。返...
get_magic_quotes_gpc函数
weixin_34232363的博客
03-21 459
magic_quotes_gpc函数在php中的作用是判断解析用户提示的数据,如包括有:post、get、cookie过来的数据增加转义字符“\”,以确保这些数据不会引起程序,特别是数据库语句因为特殊字符引起的污染而出现致命的错误   在magic_quotes_gpc=On的情况下,如果输入的数据有 单引号(’)、双引号(”)、反斜线()与 NUL(NULL 字符)等字符都会被加上反斜线。...
php一句话木马下载,零魂PHP一句话木马客户端(一键提交版)
weixin_32821643的博客
03-11 851
V0.22009-11-11(正好是光棍节,晕~)更新内容:—————————–1.修补了下原始版本有些服务器不能正常运行的大Bug。2.去掉了提交后的登陆密码验证,提交后直接进入大马界面。—————————–更新说明:—————————–这玩意本来就是为了方便自己做的,所以本来只打算对自己负责,呵呵。好马好工具如果传出来必然被传烂掉,但这东西无所谓,又不是多特别的东西,但有时候用着比较方便,所以...
信息安全 数据赛 铁人三项_[信息安全铁人三项赛总决赛](数据赛)第二题
weixin_39897758的博客
12-19 3602
WriteUps首先根据队友的发现 , 找到了攻击者的 ip : 172.16.10.121然后这条命令将所有的 http 数据包的请求以及相应全部提取出来写了一个 Shell 脚本 , 提取完所有的包大概也就用了两分钟左右的时间tcpdump -A -s 0 'host 172.16.10.121 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((...
get_magic_quotes_gpc 替换
最新发布
01-17
### 替代 `get_magic_quotes_gpc` 函数的方法 由于 PHP 5.4 版本之后已移除了 `magic_quotes_gpc` 配置项以及相应的检测函数 `get_magic_quotes_gpc()`,开发者需要采用其他方式来处理输入数据的安全性问题。最佳实践中推荐使用预处理语句手动转义机制。 #### 使用 PDO 进行 SQL 查询防护 PDO 提供了一种安全的方式来执行数据库查询,通过绑定参数可以有效防止SQL注入攻击: ```php <?php $pdo = new PDO('mysql:host=localhost;dbname=test', 'username', 'password'); $stmt = $pdo->prepare('SELECT * FROM users WHERE username = :username AND password = :password'); $stmt->execute([':username' => $_POST['username'], ':password' => hash('sha256', $_POST['password'])]); $user = $stmt->fetch(); ?> ``` 此代码片段展示了如何利用 PDO 来准备并执行带有占位符的 SQL 语句[^1]。 #### 手动调用 `addslashes` 或者 `mysqli_real_escape_string` 对于那些仍然依赖于字符串拼接构建 SQL 语句的应用程序来说,在插入到数据库之前应该显式地对特殊字符进行转义操作: ```php <?php // 假设连接对象为 $conn $safe_username = mysqli_real_escape_string($conn, $_POST["username"]); $query = "INSERT INTO table (column) VALUES ('$safe_username')"; ?> ``` 这种方法虽然简单直接,但在现代开发中并不提倡,因为容易遗漏某些地方而造成安全隐患;相比之下,优先考虑使用预处理语句更为可靠[^2]。 #### 对外部输入统一过滤 为了保持一致性并且简化逻辑,可以在接收请求后的第一时间就对外部传入的数据做一次全面清理,比如去除多余的空白、转换HTML实体等: ```php function sanitize_input($data){ $data = trim($data); $data = stripslashes($data); // 如果 magic_quotes_gpc 被开启,则先去掉多余反斜杠 $data = htmlspecialchars($data); return $data; } $_GET = array_map('sanitize_input', $_GET ); $_POST = array_map('sanitize_input', $_POST); $_COOKIE = array_map('sanitize_input', $_COOKIE); ``` 这段代码实现了对所有来自客户端提交的信息进行了初步净化处理,确保后续业务逻辑不会受到恶意构造的影响[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值