get_magic_quotes_gpc 与 addslashes 讨论

最新推荐文章于 2020-11-23 00:03:04 发布
原创 最新推荐文章于 2020-11-23 00:03:04 发布 · 944 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#数据库 #sybase #string #php #function #null

本文介绍了PHP中用于安全转义的magic_quotes_gpc和addslashes函数。解释了这两个功能如何帮助开发者防止SQL注入攻击,并提供了一个自定义转义函数my_addslashes的实际应用案例。

int get_magic_quotes_gpc ( void )

本函式取得 PHP 环境设定的变数 magic_quotes_gpc (GPC, Get/Post/Cookie) 值。传回 0 表示关闭本功能;传回 1 表示本功能开启。当 magic_quotes_gpc 开启时,所有的 ' (单引号), " (双引号), / (反斜线) and 空字符会自动转为含有反斜线的溢出字符。

string addslashes ( string str )

返回字符串,该字符串为了数据库查询语句等的需要在某些字符前加上了反斜线。这些字符是单引号(')、双引号(")、反斜线(/)与 NUL(NULL 字符)。

一个使用 addslashes() 的例子是当你要往数据库中输入数据时。例如,将名字 O'reilly 插入到数据库中,这就需要对其进行转义。大多数据库使用 / 作为转义符:O/'reilly。这样可以将数据放入数据库中,而不会插入额外的 /。当 PHP 指令 magic_quotes_sybase 被设置成 on 时,意味着插入 ' 时将使用 ' 进行转义。

默认情况下,PHP 指令 magic_quotes_gpc 为 on,它主要是对所有的 GET、POST 和 COOKIE 数据自动运行 addslashes()。不要对已经被 magic_quotes_gpc 转义过的字符串使用 addslashes(),因为这样会导致双层转义。遇到这种情况时可以使用函数 get_magic_quotes_gpc() 进行检测。

所以我们自定义一个转义函数:

function my_addslashes($str){
return get_magic_quotes_gpc() ? $str : addslashes($str);
}

phpget_magic_quotes_gpc()函数说明
12-18
如果`magic_quotes_gpc`设置为开启,但开发者想要手动处理字符串转义,应当首先使用`get_magic_quotes_gpc()`检查当前状态。如果返回值为1,说明数据已经自动转义,这时再使用`addslashes()`就会导致双层转义,因此...
基于magic_quotes_gpcmagic_quotes_runtime的区别使用介绍
10-27
magic_quotes_gpcmagic_quotes_runtime是PHP语言中用于自动转义特殊字符的两个配置指令,它们的主要目的是为了防止SQL注入等安全问题。这两个指令对于处理用户输入的数据,尤其是从GET、POST、COOKIE等超全局变量...
get_magic_quotes_gpc函数
weixin_34232363的博客
03-21 476
magic_quotes_gpc函数在php中的作用是判断解析用户提示的数据,如包括有:post、get、cookie过来的数据增加转义字符“\”,以确保这些数据不会引起程序,特别是数据库语句因为特殊字符引起的污染而出现致命的错误   在magic_quotes_gpc=On的情况下,如果输入的数据有 单引号(’)、双引号(”)、反斜线() NUL(NULL 字符)等字符都会被加上反斜线。...
get_magic_quotes_gpc() 你到底是做什么的?
weixin_30315905的博客
05-05 253
php的配置文件中,有个布尔值的设置,就是magic_quotes_runtime,当它打开时, php的大部分函数自动的给从外部引入的(包括数据库或者文件)数据中的溢出字符加上反 斜线。 当然如果重复给溢出字符加反斜线,那么字符串中就会有多个反斜线,所以这时 就要用set_magic_quotes_runtime()get_magic_quotes_runtime()设置和检测php....
get_magic_quotes_gpc()
rongwenbin的专栏
08-07 894
PHP函数补完:get_magic_quotes_gpc() 判断PHP有没有自动调用addslashes 试试阅读模式?希望听取您的建议 get_magic_quotes_gpc 取得 PHP 环境变数 magic_quotes_gpc 的值,属于 PHP 系统功能。 语法: long get_magic_quotes_gpc(void); 返回值: 长整数 这个函数做什么的?
phpget_magic_quotes_gpc函数的使用
weixin_33704234的博客
09-11 145
get_magic_quotes_gpc函数 function html($str) { $str = get_magic_quotes_gpc()?$str:addslashes($str); return $str; } ---------------- get_magic_quotes_gpc 取得 PHP 环境变数 ma...
基于PHP magic_quotes_gpc的使用方法详解
10-27
因此,在使用magic_quotes_gpc=on的情况下,如果再对输入数据执行addslashes(),就会导致数据中出现多余的转义字符。在输出这些数据时,需要使用stripslashes()函数去除这些多余的转义字符。 相反,当magic_quotes_...
php magic_quotes_gpc的一点认识分析
10-30
在插入数据库数据时,magic_quotes_gpc基本上会自动对所有GET、POST和COOKIE数据运行addslashes()函数进行转义。 然而,使用magic_quotes_gpc也存在一些问题。首先,它可能会影响应用程序的移植性。开发者需要通过...
get_magic_quotes_gpc 用法
Alex_Best
06-29 1700
<br />在PHPget_magic_quotes_gpc()函数是内置的函数,这个函数的作用就是得到php.ini设置中magic_quotes_gpc选项的值。<br />那么就先说一下magic_quotes_gpc选项:<br />如果magic_quotes_gpc=On,PHP解析器就会自动为post、get、cookie过来的数据增加转义字符“/”,以确保这些数据不会引起程序,特别是数据库语句因为特殊字符引起的污染而出现致命的错误。如果输入的数据有单引号(’)、双引号(”)、反斜线(/)
get_magic_quotes_gpc()函数
c1041087078的专栏
05-17 590
PHP5.4不再支持get_magic_quotes_gpc()这个函数了,用mysql_real_escape_string() 或者 addslashes 进行转义
PHPget_magic_quotes_gpc()函数是内置的函数,这个函数的作用就是得到php.ini设置中magic_quotes_gpc选项的值。
youcijibi的博客
09-23 1233
PHPget_magic_quotes_gpc()函数是内置的函数,这个函数的作用就是得到php.ini设置中magic_quotes_gpc选项的值。 那么就先说一下magic_quotes_gpc选项: 如果magic_quotes_gpc=On,PHP解析器就会自动为post、get、cookie过来的数据增加转义字符“\”,以确保这些数据不会引起程序,特别是数据库语句因为特
magic_quotes_gpc
05-05 268
PHP magic_quotes_gpc作用范围是:WEB客户服务端;作用时间:请求开始时。 1. 对于PHP magic_quotes_gpc=on的情况, 我们可以不对输入和输出数据库的字符串数据作addslashes()和stripslashes()的操作,数据也会正常显示。 如果此时你对输入的数据作了addslashes()处理,那么在输出的时候就必须使用stripslashe
sql注入 mysql&&php常用函数总结
weixin_43745072的博客
11-23 357
information_schema information_schema这这个数据库中保存了MySQL服务器所有数据库的信息。 如数据库名,数据库的表,表栏的数据类型访问权限等。 再简单点,这台MySQL服务器上,到底有哪些数据库、各个数据库有哪些表, 每张表的字段类型是什么,各个数据库要什么权限才能访问,等等信息都保存在information_schema里面。 information_schema的表schemata中的列schema_name记录了所有数据库的名字 information_sc.
get_magic_quotes_gpcaddslashes
rongwenbin的专栏
08-01 753
get_magic_quotes_gpc 取得 PHP环境变量magic_quotes_gpc 的值。语法: long get_magic_quotes_gpc(void); 返回值: 长整数函数种类: PHP 系统功能内容说明本函数取得 PHP 环境配置的变量magic_quotes_gpc (GPC, Get/Post/Cookie) 值。 返回 0 表示关闭本功能; 返回 1 表示本
get_magic_quotes_gpc 替换
最新发布
01-17
### 替代 `get_magic_quotes_gpc` 函数的方法 由于 PHP 5.4 版本之后已移除了 `magic_quotes_gpc` 配置项以及相应的检测函数 `get_magic_quotes_gpc()`,开发者需要采用其他方式来处理输入数据的安全性问题。最佳实践中推荐使用预处理语句和手动转义机制。 #### 使用 PDO 进行 SQL 查询防护 PDO 提供了一种安全的方式来执行数据库查询,通过绑定参数可以有效防止SQL注入攻击: ```php <?php $pdo = new PDO('mysql:host=localhost;dbname=test', 'username', 'password'); $stmt = $pdo->prepare('SELECT * FROM users WHERE username = :username AND password = :password'); $stmt->execute([':username' => $_POST['username'], ':password' => hash('sha256', $_POST['password'])]); $user = $stmt->fetch(); ?> ``` 此代码片段展示了如何利用 PDO 来准备并执行带有占位符的 SQL 语句[^1]。 #### 手动调用 `addslashes` 或者 `mysqli_real_escape_string` 对于那些仍然依赖于字符串拼接构建 SQL 语句的应用程序来说,在插入到数据库之前应该显式地对特殊字符进行转义操作: ```php <?php // 假设连接对象为 $conn $safe_username = mysqli_real_escape_string($conn, $_POST["username"]); $query = "INSERT INTO table (column) VALUES ('$safe_username')"; ?> ``` 这种方法虽然简单直接,但在现代开发中并不提倡,因为容易遗漏某些地方而造成安全隐患;相比之下,优先考虑使用预处理语句更为可靠[^2]。 #### 对外部输入统一过滤 为了保持一致性并且简化逻辑,可以在接收请求后的第一时间就对外部传入的数据做一次全面清理,比如去除多余的空白、转换HTML实体等: ```php function sanitize_input($data){ $data = trim($data); $data = stripslashes($data); // 如果 magic_quotes_gpc 被开启,则先去掉多余反斜杠 $data = htmlspecialchars($data); return $data; } $_GET = array_map('sanitize_input', $_GET ); $_POST = array_map('sanitize_input', $_POST); $_COOKIE = array_map('sanitize_input', $_COOKIE); ``` 这段代码实现了对所有来自客户端提交的信息进行了初步净化处理,确保后续业务逻辑不会受到恶意构造的影响[^3]。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

inject2006

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值