php get_magic_quotes_gpc() stripslashes()和addslashes()的关系

本文深入探讨了PHP中magic_quotes_gpc特性的作用及其对数据处理的影响。解释了在不同设置下(addslashes及stripslashes函数)如何确保数据安全地存取。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

PHP为了安全性,所以引入了个magic_quotes_gpc = On的功能,可以不需要做任何处理就能直接把单引号插入数据库中,那么对于Off时,则需要考虑单引号的问题了,而不是一味地信任运行环境。

magic_quotes_gpc = On时,使用了addslashes()处理后的数据在数据库中将以\'形式保存,如果此时直接输出的话,就会发现比自己期待的内容多了个\,因此stripslashes()出场了,它能把\去掉(区别于str_replace(”\”, “”,$Str))。

magic_quotes_gpc = Off时,使用了addslashes()处理后的数据在数据库中将以'形式保存,没有上面说的有\的问题,addslashes()起到插入数据不出错的作用,如果此时直接输出的话,数据正常。不需要再用stripslashes()。addslashes()和stripslashes()正好是相反的,直接记忆:addslashes()加个\,stripslashes()去个\

那么什么时候用呢?

简单说:

当magic_quotes_gpc = On时,系统会自动处理单引号等问题,用不用addslashes()和stripslashes()都没关系,但是如果添加数据时用了addslashes(),那么显示数据时必须要stripslashes()

当magic_quotes_gpc = Off时,系统不会处理单引号等问题,所以插入数据时必须要使用addslashes(),显示数据时则不需要使用stripslashes()。

既然有了分析,做程序时要怎么办呢?根据以上两种情况,可得:

不管magic_quotes_gpc是On还是Off,咱添加数据时都用addslashes(),当On时,必须使用stripslashes(),Off时则不能用stripslashes()。

### 替代 `get_magic_quotes_gpc` 函数的方法 由于 PHP 5.4 版本之后已移除了 `magic_quotes_gpc` 配置项以及相应的检测函数 `get_magic_quotes_gpc()`,开发者需要采用其他方式来处理输入数据的安全性问题。最佳实践中推荐使用预处理语句手动转义机制。 #### 使用 PDO 进行 SQL 查询防护 PDO 提供了一种安全的方式来执行数据库查询,通过绑定参数可以有效防止SQL注入攻击: ```php <?php $pdo = new PDO('mysql:host=localhost;dbname=test', 'username', 'password'); $stmt = $pdo->prepare('SELECT * FROM users WHERE username = :username AND password = :password'); $stmt->execute([':username' => $_POST['username'], ':password' => hash('sha256', $_POST['password'])]); $user = $stmt->fetch(); ?> ``` 此代码片段展示了如何利用 PDO 来准备并执行带有占位符的 SQL 语句[^1]。 #### 手动调用 `addslashes` 或者 `mysqli_real_escape_string` 对于那些仍然依赖于字符串拼接构建 SQL 语句的应用程序来说,在插入到数据库之前应该显式地对特殊字符进行转义操作: ```php <?php // 假设连接对象为 $conn $safe_username = mysqli_real_escape_string($conn, $_POST["username"]); $query = "INSERT INTO table (column) VALUES ('$safe_username')"; ?> ``` 这种方法虽然简单直接,但在现代开发中并不提倡,因为容易遗漏某些地方而造成安全隐患;相比之下,优先考虑使用预处理语句更为可靠[^2]。 #### 对外部输入统一过滤 为了保持一致性并且简化逻辑,可以在接收请求后的第一时间就对外部传入的数据做一次全面清理,比如去除多余的空白、转换HTML实体等: ```php function sanitize_input($data){ $data = trim($data); $data = stripslashes($data); // 如果 magic_quotes_gpc 被开启,则先去掉多余反斜杠 $data = htmlspecialchars($data); return $data; } $_GET = array_map('sanitize_input', $_GET ); $_POST = array_map('sanitize_input', $_POST); $_COOKIE = array_map('sanitize_input', $_COOKIE); ``` 这段代码实现了对所有来自客户端提交的信息进行了初步净化处理,确保后续业务逻辑不会受到恶意构造的影响[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值