php-get_magic_quotes_gpc

最新推荐文章于 2024-09-06 17:38:27 发布
转载 最新推荐文章于 2024-09-06 17:38:27 发布 · 551 阅读 · 0

本文深入解析PHP环境变量magic_quotes_gpc的功能、工作原理及使用方法,包括其与magic_quotes_runtime的关系、如何检测其状态、以及如何在程序中手动处理或关闭自动转义功能。通过示例代码展示如何利用magic_quotes_gpc实现数据安全处理。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

get_magic_quotes_gpc

取得 PHP 环境变数 magic_quotes_gpc 的值,属于 PHP 系统功能。

语法: long get_magic_quotes_gpc(void);

返回值: 长整数

这个函数做什么的?

本函数取得 PHP 环境配置的变量 magic_quotes_gpc (GPC, Get/Post/Cookie) 值。返回 0 表示关闭本功能;返回 1 表示本功能打开。当 magic_quotes_gpc 打开时,所有的 ' (单引号), " (双引号), (反斜线) and 空字符会自动转为含有反斜线的溢出字符。

在php的配置文件中,有个布尔值的设置,就是magic_quotes_runtime。当它打开时,php的大部分函数自动的给从外部引入的(包括数据库或者文件)数据中的溢出字符加上反斜线。 当然如果重复给溢出字符加反斜线,那么字符串中就会有多个反斜线,所以这时就要用set_magic_quotes_runtime()与get_magic_quotes_runtime()设置和检测php.ini文件中magic_quotes_runtime状态。

为了使自己的程序不管服务器是什么设置都能正常执行。可以在程序开始用get_magic_quotes_runtime检测该设置的状态决定是否要手工处理,或者在开始(或不需要自动转义的时候)用set_magic_quotes_runtime(0)关掉该设置。

magic_quotes_gpc设置是否自动为GPC(get,post,cookie)传来的数据中的'"\加上反斜线。可以用get_magic_quotes_gpc()检测系统设置。如果没有打开这项设置,可以使用addslashes()函数添加,它的功能就是给数据库查询语句等的需要在某些字符前加上了反斜线。这些字符是单引号(')、双引号(")、反斜线(\)与 NUL(NULL 字符)。

一般用法如下:

1 if(!get_magic_quotes_gpc())
2 {
3     addslashes($prot);
4 }

在手册中string addslashes ( string str )介绍的时候有这样一句话说明了get_magic_quotes_gpc的用法以及作用。默认情况下,PHP 指令 magic_quotes_gpc 为 on,它主要是对所有的 GET、POST 和 COOKIE 数据自动运行 addslashes()。不要对已经被 magic_quotes_gpc 转义过的字符串使用 addslashes(),因为这样会导致双层转义。遇到这种情况时可以使用函数 get_magic_quotes_gpc() 进行检测。

其实这个函数就是判断PHP有没有自动调用addslashes 这个函数:

最土团购系统里的magic_gpc
01 <?php
02     define('SYS_MAGICGPC', get_magic_quotes_gpc());
03      
04     $_POST = magic_gpc($_POST);
05      
06     function magic_gpc($string) {
07         if(SYS_MAGICGPC) {
08             if(is_array($string)) {
09                 foreach($string as $key => $val) {
10                     $string[$key] = magic_gpc($val);
11                 }
12             else {
13                 $string stripslashes($string);
14             }
15         }
16         return $string;
17     }
18      
19     echo 'get_magic_quotes_gpc的值: '.get_magic_quotes_gpc();
20     echo '<br />';
21     echo '直接输出POST变量: '.$_POST['nowamagic'];
22     echo '<br />';
23     echo '经过magic_gpc处理: '.magic_gpc($_POST['nowamagic']);
24 ?>
25  
26 <html>
27     <body>
28           <form action="<?=$_SERVER['PHP_SELF']?>" method="post">
29                <input type="text" name="nowamagic" value="no'wamagic.net">
30                <input type="submit" value="提交">
31           </form>
32     </body>   
33      
34 </html>

程序输出:

1 get_magic_quotes_gpc的值: 1
2 直接输出POST变量: no'wamagic.net
3 经过magic_gpc处理: no'wamagic.net
再来个例子:
01 <?php
02  
03     echo 'get_magic_quotes_gpc: '.get_magic_quotes_gpc();
04     echo '<br />';
05     echo '直接输出POST变量: '.$_POST['nowamagic'];
06     echo '<br />';
07     echo 'addslashes: '.addslashes($_POST['nowamagic']);
08      
09     if (!get_magic_quotes_gpc()) {
10         $nowamagic addslashes($_POST['nowamagic']);
11     }
12     else {
13         $nowamagic $_POST['nowamagic'];
14     }
15      
16     echo '<br />';
17     echo '处理后输出: '.$nowamagic;
18 ?>
19  
20 <html>
21     <body>
22           <form action="<?=$_SERVER['PHP_SELF']?>" method="post">
23                <input type="text" name="nowamagic" value="no'wamagic.net">
24                <input type="submit" value="提交">
25           </form>
26     </body>   
27      
28 </html>

程序输出:

1 get_magic_quotes_gpc: 1
2 直接输出POST变量: no'wa\magic.net
3 addslashes: no\'wa\\magic.net
4 处理后输出: no'wa\magic.net
PHP开启magic扩展,php.ini中Magic_Quotes_Gpc开关设置
weixin_32350433的博客
03-26 1407
Magic_Quotes_Gpc 解释magic_quotes_gpc作用范围是:WEB客户服务端;作用时间:请求开始时。magic_quotes_runtime 作用范围:从文件中读取的数据或执行exec()的结果或是从SQL查询中得到的;作用时间:每次当脚本访问运行状态中产生的数据开关区别2.1对于PHP magic_quotes_gpc=on的情况, 我们可以不对输入和输出数据库的字...
get_magic_quotes_gpc函数
weixin_34232363的博客
03-21 462
magic_quotes_gpc函数在php中的作用是判断解析用户提示的数据,如包括有:post、get、cookie过来的数据增加转义字符“\”,以确保这些数据不会引起程序,特别是数据库语句因为特殊字符引起的污染而出现致命的错误   在magic_quotes_gpc=On的情况下,如果输入的数据有 单引号(’)、双引号(”)、反斜线()与 NUL(NULL 字符)等字符都会被加上反斜线。...
get_magic_quotes_gpc()
rongwenbin的专栏
08-07 880
PHP函数补完:get_magic_quotes_gpc() 判断PHP有没有自动调用addslashes 试试阅读模式?希望听取您的建议 get_magic_quotes_gpc 取得 PHP 环境变数 magic_quotes_gpc 的值,属于 PHP 系统功能。 语法: long get_magic_quotes_gpc(void); 返回值: 长整数 这个函数做什么的?
get_magic_quotes_gpc 用法
Alex_Best
06-29 1654
<br />在PHPget_magic_quotes_gpc()函数是内置的函数,这个函数的作用就是得到php.ini设置中magic_quotes_gpc选项的值。<br />那么就先说一下magic_quotes_gpc选项:<br />如果magic_quotes_gpc=On,PHP解析器就会自动为post、get、cookie过来的数据增加转义字符“/”,以确保这些数据不会引起程序,特别是数据库语句因为特殊字符引起的污染而出现致命的错误。如果输入的数据有单引号(’)、双引号(”)、反斜线(/)与
get_magic_quotes_gpc() 你到底是做什么的?
weixin_30315905的博客
05-05 238
php的配置文件中,有个布尔值的设置,就是magic_quotes_runtime,当它打开时, php的大部分函数自动的给从外部引入的(包括数据库或者文件)数据中的溢出字符加上反 斜线。 当然如果重复给溢出字符加反斜线,那么字符串中就会有多个反斜线,所以这时 就要用set_magic_quotes_runtime()与get_magic_quotes_runtime()设置和检测php....
phpget_magic_quotes_gpc()函数说明
12-18
PHP编程语言中,`get_magic_quotes_gpc()`是一个非常重要的函数,主要用于处理用户通过GET、POST或COOKIE方式提交的数据。这个函数的核心作用是检查PHP的配置选项`magic_quotes_gpc`的状态,该选项决定了PHP是否会...
基于magic_quotes_gpcmagic_quotes_runtime的区别与使用介绍
10-27
magic_quotes_gpcPHP中用于自动转义GET、POST和COOKIE数据的一个选项。当magic_quotes_gpc设置为on时,PHP会自动对所有从客户端获取的数据执行addslashes()函数,即在单引号(')、双引号(")、反斜线(\)前添加反斜线...
基于PHP magic_quotes_gpc的使用方法详解
10-27
PHP开发中,magic_quotes_gpc是一个用于自动转义输入数据的全局配置选项。它主要作用于Web客户服务端,其功能是从用户请求开始时自动为所有的GET、POST和COOKIE数据中的特殊字符添加反斜杠(\)作为转义字符。这个...
PHP6 中get_magic_quotes_gpc()函数
Brady_never
12-08 2343
PHP版本6中 取消了get_magic_quotes_gpc()函数,首先这个函数的作用:是为了防止sql注入,当该函数打开时将所有单引号,双引号, 反斜线和空字符转会自动转为含有反斜线的溢出字符。 PHP6取消magic_quotes机制,那么就是默认转义一些特殊字符来防止sql注入。 当出现:Call to undefined function get_magic_quotes_gpc
PHPget_magic_quotes_gpc()函数是内置的函数,这个函数的作用就是得到php.ini设置中magic_quotes_gpc选项的值。
youcijibi的博客
09-23 1212
PHPget_magic_quotes_gpc()函数是内置的函数,这个函数的作用就是得到php.ini设置中magic_quotes_gpc选项的值。 那么就先说一下magic_quotes_gpc选项: 如果magic_quotes_gpc=On,PHP解析器就会自动为post、get、cookie过来的数据增加转义字符“\”,以确保这些数据不会引起程序,特别是数据库语句因为特
phpget_magic_quotes_gpc函数的使用
weixin_33704234的博客
09-11 130
get_magic_quotes_gpc函数 function html($str) { $str = get_magic_quotes_gpc()?$str:addslashes($str); return $str; } ---------------- get_magic_quotes_gpc 取得 PHP 环境变数 ma...
php get_mogic_quotes_gpc()
beaster1的博客
09-06 308
主要功能是得到magic_quotes_gpc的值(打印不出来但是**!magic_quotes_gpc()**的结果为1):PHP 指令 magic_quotes_gpc 为 on,对所有的 GET、POST 和 COOKIE 数据自动运行。
get_magic_quotes_gpc()函数
c1041087078的专栏
05-17 579
PHP5.4不再支持get_magic_quotes_gpc()这个函数了,用mysql_real_escape_string() 或者 addslashes 进行转义
PHP报错:Function get_magic_quotes_gpc() is deprecated
椰子园
08-31 2156
解决方案: ini_get('magic_quotes_gpc') 的值判断。原因: php版本于7.4开始此方法已被弃用。
php get_magic_quotes_gpc()函数用法介绍
牛奔的博客
07-22 623
[导读]magic_quotes_gpc函数在php中的作用是判断解析用户提示的数据,如包括有:post、get、cookie过来的数据增加转义字符“ ”,以确保这些数据不会引起程序,特别是数据库语句因为特殊字符引起的污染而出现致命的错误 magic_quotes_gpc函数在php中的作用是判断解析用户提示的数据,如包括有:post、get、cookie过来的数据增加转义字符“\”,以确保...
get_magic_quotes_gpc 替换
最新发布
01-17
### 替代 `get_magic_quotes_gpc` 函数的方法 由于 PHP 5.4 版本之后已移除了 `magic_quotes_gpc` 配置项以及相应的检测函数 `get_magic_quotes_gpc()`,开发者需要采用其他方式来处理输入数据的安全性问题。最佳实践中推荐使用预处理语句和手动转义机制。 #### 使用 PDO 进行 SQL 查询防护 PDO 提供了一种安全的方式来执行数据库查询,通过绑定参数可以有效防止SQL注入攻击: ```php <?php $pdo = new PDO('mysql:host=localhost;dbname=test', 'username', 'password'); $stmt = $pdo->prepare('SELECT * FROM users WHERE username = :username AND password = :password'); $stmt->execute([':username' => $_POST['username'], ':password' => hash('sha256', $_POST['password'])]); $user = $stmt->fetch(); ?> ``` 此代码片段展示了如何利用 PDO 来准备并执行带有占位符的 SQL 语句[^1]。 #### 手动调用 `addslashes` 或者 `mysqli_real_escape_string` 对于那些仍然依赖于字符串拼接构建 SQL 语句的应用程序来说,在插入到数据库之前应该显式地对特殊字符进行转义操作: ```php <?php // 假设连接对象为 $conn $safe_username = mysqli_real_escape_string($conn, $_POST["username"]); $query = "INSERT INTO table (column) VALUES ('$safe_username')"; ?> ``` 这种方法虽然简单直接,但在现代开发中并不提倡,因为容易遗漏某些地方而造成安全隐患;相比之下,优先考虑使用预处理语句更为可靠[^2]。 #### 对外部输入统一过滤 为了保持一致性并且简化逻辑,可以在接收请求后的第一时间就对外部传入的数据做一次全面清理,比如去除多余的空白、转换HTML实体等: ```php function sanitize_input($data){ $data = trim($data); $data = stripslashes($data); // 如果 magic_quotes_gpc 被开启,则先去掉多余反斜杠 $data = htmlspecialchars($data); return $data; } $_GET = array_map('sanitize_input', $_GET ); $_POST = array_map('sanitize_input', $_POST); $_COOKIE = array_map('sanitize_input', $_COOKIE); ``` 这段代码实现了对所有来自客户端提交的信息进行了初步净化处理,确保后续业务逻辑不会受到恶意构造的影响[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值