addslashes和 get_magic_quotes_gpc过滤SQL字符

最新推荐文章于 2021-03-27 09:03:30 发布
原创 最新推荐文章于 2021-03-27 09:03:30 发布 · 1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了PHP中的addslashes函数,该函数用于处理字符串中的特殊字符,确保它们能在数据库查询中正确使用。文章通过示例代码展示了在不同情况下addslashes函数的表现,并提供了get_magic_quotes_gpc配置对字符串处理的影响。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

php中的addslashes函数使需要让数据库处理的字符串中引号的部份加上斜线,以供数据库查询 (query) 能顺利运作。这些会被改的字符包括单引号 (')、双引号 (")、反斜线 backslash (\) 以及空字符 NUL (the null byte)。 
语法: string addslashes(string str); 
1,表单提交中addslashes的表现。 
首先要看get_magic_quotes_gpc()的值,一般为 1 。这时候从 <TEXTAREA> 提交的内容会自动加上斜线。 
比如输入 ' 变成 \' , " 变成 \" , \ 变成 \\ 
例子: 
PHP代码: 
<html><head><title>test</title></head> 
<body> 
<FORM action="" method=post> 
<TEXTAREA name=message rows="18" cols="55" >default text</TEXTAREA> 
<INPUT type=submit value=Submit name=submit></FORM> 
<?php 
echo get_magic_quotes_gpc(). 
" A ".$_POST['message']. 
" B ".stripslashes($_POST['message']); 
?> 
</body></html> 
输入:include('/home/me/myfile'); 
输出:1 A include('/home/me/myfile'); B include('/home/me/myfile'); 
总结:get_magic_quotes_gpc()等于1的情况下,如果不输入数据库,那你得到的结果是加了斜线的。 
2,提交输入数据库时addslashes的表现。 
例子: 
PHP代码: 
<html><head><title>test</title></head> 
<body> 
<FORM action="" method=post> 
<TEXTAREA name=message rows="18" cols="55" >default text</TEXTAREA> 
<INPUT type=submit value=Submit name=submit></FORM> 
<?php 
require_once('includes/common.php'); 
$db->query("INSERT INTO `testtable` ( id , content ) VALUES ('1' , '".$_POST['message']."')"); 
$query=$db->query("select * from `testtable` where `id`= 1;"); 
$Result=$db->fetch_array($query); 
echo get_magic_quotes_gpc(). 
" A ".$_POST['message']. 
" B ".$Result['content']; 
?> 
</body></html> 
输入:include('/home/me/myfile'); 
输出:1 A include('/home/me/myfile'); B include('/home/me/myfile'); 
总结:get_magic_quotes_gpc()等于1的情况下,如果输入数据库后,再从数据库直接读取的时候,你不做任何修改就可以得到输入的字符串。 
3, get_magic_quotes_gpc() 
get_magic_quotes_gpc()在服务器是的设置是不能runtime修改的,也就是说,你必须在你的网页代码中预先考虑好不同的 情况,不然,当你提交数据的时候,你还不知道服务器给你加了斜线没有。以下两个网上流行的函数可能是大家需要的,个人喜欢第二个: 
PHP代码: 
function my_addslashes( $message ){ 
if(get_magic_quotes_gpc()== 1 ){ 
return $message; 
}else{ 
if(is_array($message)==true){ 
while(list($key,$value)=each($message)){ 
$message[$key]=my_addslashes($value); 

return $message; 
}else{ 
return addslashes($message); 



PHP代码: 
function my_addslashes($data){ 
if(!get_magic_quotes_gpc()) { 
return is_array($data)?array_map('AddSlashes',$data):addslashes($data); 
} else { 
Return $data; 


简单的解释就是,如果get_magic_quotes_gpc()等于 1 (服务器默认设置为 1 ),那我们的字符串是可以直接入库的,不修改。不然,我们才用addslashes函数。
PHP开启magic扩展,php.ini中Magic_Quotes_Gpc开关设置
weixin_32350433的博客
03-26 1412
Magic_Quotes_Gpc 解释magic_quotes_gpc作用范围是:WEB客户服务端;作用时间:请求开始时。magic_quotes_runtime 作用范围:从文件中读取的数据或执行exec()的结果或是从SQL查询中得到的;作用时间:每次当脚本访问运行状态中产生的数据开关区别2.1对于PHP magic_quotes_gpc=on的情况, 我们可以不对输入输出数据库的字...
mysql addslashes()函数_addslashes()函数绕过
weixin_35965051的博客
01-19 1799
前言该文章主要描述了addslashes()函数常见的编码绕过的情况2020-01-07天象独行函数addslashes()作用是返回在预定义字符之前添加反斜杠的字符串。预定义字符是单引号(')双引号(")反斜杠(\)NULL。比如下图,这样就造成了得结果是我们无法在注入的过程当中使用单引号(’)。在字符行注入的时候是比较头疼的一件事情。下面我们讨论一下一些情况可以绕过addslashes()函数...
addslashes()get_magic_quotes_gpc()
-
08-25 310
addslashes()get_magic_quotes_gpc()
PHP magic_quotes_gpc addslashes解析
weixin_30414155的博客
07-05 148
默认情况下,PHP 指令magic_quotes_gpc为on,它主要是对所有的 GET、POST COOKIE 数据自动运行addslashes()。不要对已经被 magic_quotes_gpc 转义过的字符串使用addslashes(),因为这样会导致双层转义。遇到这种情况时可以使用函数get_magic_quotes_gpc() 进行检测。 转载于:https://www....
php过滤字符串的addslashes函数
weixin_30379911的博客
05-23 190
为了数据安全,防止注入需要过滤$_GET获得的字符串,一开始我还自已写过滤函数,后来看到php自带的一个过滤函数,所以把addslashes推荐给大家。 一个使用 addslashes() 的例子是当你要往数据库中输入数据时。例如,将名字 O'reilly 插入到数据库中,这就需要对其进行转义。大多数据库使用 \ 作为转义符:O\'reilly。这样可以将数据放入数据库中,而不会插入额外的...
php addslashes() 函数
程序员哆啦A梦,蓝胖子
05-02 1085
实例 在每个双引号(")前添加反斜杠: <?php $str = addslashes('ggg is the "dada" city in China.'); echo($str); ?> addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。 单引号(’) 双引号(") 反斜杠(\) NULL 可用于为存储在数据库中的字符串以及数据库查询语句准备字符GET、P...
php 敏感字符,php过滤敏感字符的一些相关函数--魔法函数应用
weixin_36378222的博客
03-11 235
Warning: strncmp() has been disabled for security reasons in /www/web/default/blog/public_html/wp-includes/formatting.php on line 117一,首先,先来看一下php.ini的两个配置参数magic_quotes_gpc "1" PHP_INI_PERDIR PHP_IN...
php中get_magic_quotes_gpc()函数说明
12-18
`magic_quotes_gpc`是一个在`php.ini`配置文件中设置的指令,当其开启(设置为`On`)时,PHP会自动在所有通过GET、POSTCOOKIE传递的字符串中添加反斜杠,用以转义特定字符,包括单引号('),双引号("),反斜线(\)...
基于magic_quotes_gpcmagic_quotes_runtime的区别与使用介绍
10-27
magic_quotes_gpcmagic_quotes_runtime是PHP语言中用于自动转义特殊字符的两个配置指令,它们的主要目的是为了防止SQL注入等安全问题。这两个指令对于处理用户输入的数据,尤其是从GET、POST、COOKIE等超全局变量...
基于PHP magic_quotes_gpc的使用方法详解
10-27
magic_quotes_gpc设置为on时,所有来自客户端的数据都会自动添加转义字符,开发者不需要再手动使用addslashes()函数进行转义。因此,在使用magic_quotes_gpc=on的情况下,如果再对输入数据执行addslashes(),就会...
php magic_quotes_gpc的一点认识与分析
10-30
在插入数据库数据时,magic_quotes_gpc基本上会自动对所有GET、POSTCOOKIE数据运行addslashes()函数进行转义。 然而,使用magic_quotes_gpc也存在一些问题。首先,它可能会影响应用程序的移植性。开发者需要通过...
php addslashes 数组,php addslashes处理$_POST $_GET数组函数
weixin_32820131的博客
03-27 137
php addslashes处理$_POST $_GET数组函数这是我的一个相当于自动版本的功能,用于处理$ _POST数组有用function add_slashes ($an_array) {foreach ($an_array as $key => $value) {$new_array[$key] = addslashes($an_array[$key]);}}?>then c...
php中get_magic_quotes_gpc的配置防sql注入用法
qq_14989227的博客
08-06 745
get_magic_quotes_gpc();就是取得php环境变量magic_quotes_gpc的值。如果值为1时,表示开启;如果为0时,表示该配置关闭!  get_magic_quotes_gpc();值为1,表示开启。那么 php会自动为POST、GET、COOKIE传过来的参数值自动增加转义字符“\”,来确保这些数据的安全性。尤其是防止SQL注入。  get_magic_
php中htmlspecialchars()函数addslashes()函数的使用区别
weixin_30651273的博客
02-13 569
在防止被注入攻击时,常会用到两个函数:htmlspecialchars()addslashes()函数。这两个函数都是对特殊字符进行转义。 1)addslashes()作用及使用 addslashes()通常用于防止sql注入,它可对通过get,postcookie传递过来的参数的单引号双引号已经null前加“\”进行转义 如:如变量$str=$_POST["str"];的值为:bb'...
PHP安全过滤字符addslashes()与stripsashes()
weixin_34279184的博客
10-18 185
 为了数据安全,防止注入需要过滤$_POST获得的字符串,php自带了一个过滤函数addslashes()。 将名字 O'reilly 插入到数据库中,这就需要对其进行转义。大多数据库使用 \ 作为转义符:O\'reilly。 举个例子:  &lt;?php  $str="Is your name O'reilly"; echo addslashes($str);  //结果:...
php 过滤函数简介用于跨站分析
Yatere的天平秤
11-22 818
过滤字符$text: '". //小于、空格、大于、单引号、双引号。 使用函数addslashes($text) \'\".//转换单双引号 使用函数:htmlentities($text)    默认第二个参数( ENT_COMPAT  )  仅编码双引号。 < >'". //仅转换了 小于、大于、双引号,未过滤单引号空格
Sqli-labs Less32-37 宽字节注入绕过过滤函数
kevinhanser
08-10 2323
本文记录 SQL 注入的学习过程,资料为 SQLi SQLi 博客目录 Less - 32: GET - Bypass custom filter adding slashes to dangerous chasrs 原理 mysql 在使用GBK 编码的时候,会认为两个字符为一个汉字,例如%aa%5c 就是一个汉字(前一个ascii 码大于128 才能到汉字的范围)。我们在...
腾讯2016实习招聘-安全岗笔试题答案详细解释
热门推荐
煜铭2011
06-11 8万+
0x00前言 鉴于曾经做过腾讯找招聘-安全技术笔试题目,故留此一记,以作怀念。此外,网上也有公布的相关的答案,但是其中有些题目稍有错误或者解释不全,所以趁机写上一记。 0x01 开始 2016年4月2日晚上7:00到9:00,腾讯2016实习招聘-安全技术的笔试题确实考到很多基础知识。该笔试题有两部分。第一部分是30道不定项选择题、10道简答题5道判断题,题量是45,限时80分钟。第二部分
get_magic_quotes_gpc 替换
最新发布
01-17
### 替代 `get_magic_quotes_gpc` 函数的方法 由于 PHP 5.4 版本之后已移除了 `magic_quotes_gpc` 配置项以及相应的检测函数 `get_magic_quotes_gpc()`,开发者需要采用其他方式来处理输入数据的安全性问题。最佳实践中推荐使用预处理语句手动转义机制。 #### 使用 PDO 进行 SQL 查询防护 PDO 提供了一种安全的方式来执行数据库查询,通过绑定参数可以有效防止SQL注入攻击: ```php <?php $pdo = new PDO('mysql:host=localhost;dbname=test', 'username', 'password'); $stmt = $pdo->prepare('SELECT * FROM users WHERE username = :username AND password = :password'); $stmt->execute([':username' => $_POST['username'], ':password' => hash('sha256', $_POST['password'])]); $user = $stmt->fetch(); ?> ``` 此代码片段展示了如何利用 PDO 来准备并执行带有占位符的 SQL 语句[^1]。 #### 手动调用 `addslashes` 或者 `mysqli_real_escape_string` 对于那些仍然依赖于字符串拼接构建 SQL 语句的应用程序来说,在插入到数据库之前应该显式地对特殊字符进行转义操作: ```php <?php // 假设连接对象为 $conn $safe_username = mysqli_real_escape_string($conn, $_POST["username"]); $query = "INSERT INTO table (column) VALUES ('$safe_username')"; ?> ``` 这种方法虽然简单直接,但在现代开发中并不提倡,因为容易遗漏某些地方而造成安全隐患;相比之下,优先考虑使用预处理语句更为可靠[^2]。 #### 对外部输入统一过滤 为了保持一致性并且简化逻辑,可以在接收请求后的第一时间就对外部传入的数据做一次全面清理,比如去除多余的空白、转换HTML实体等: ```php function sanitize_input($data){ $data = trim($data); $data = stripslashes($data); // 如果 magic_quotes_gpc 被开启,则先去掉多余反斜杠 $data = htmlspecialchars($data); return $data; } $_GET = array_map('sanitize_input', $_GET ); $_POST = array_map('sanitize_input', $_POST); $_COOKIE = array_map('sanitize_input', $_COOKIE); ``` 这段代码实现了对所有来自客户端提交的信息进行了初步净化处理,确保后续业务逻辑不会受到恶意构造的影响[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值