2008年2月11日星期一

魔术引号

FROM:

魔术引号(Magic Quote)是一个自动将进入 PHP 脚本的数据进行转义的过程。最好在编码时不要转义而在运行时根据需要而转义。

什么是魔术引号?
当打开时,所有的 ' (单引号), " (双引号), \ (反斜线)和 NULL 字符都会被自动加上一个反斜线进行转义。这和 addslashes() 作用完全相同。

一共有三个魔术引号指令:

  • magic_quotes_gpc 影响到 HTTP 请求数据(GET,POST 和 COOKIE)。不能在运行时改变。在 PHP 中默认值为 on 。参见 get_magic_quotes_gpc()

  • magic_quotes_runtimeoff 。参见 set_magic_quotes_runtime()get_magic_quotes_runtime()

  • magic_quotes_sybase 如果打开的话,将会使用单引号对单引号进行转义而非反斜线。此选项会完全覆盖 magic_quotes_gpc。如果同时打开两个选项的话,单引号将会被转义成 '' 。而双引号、反斜线 和 NULL 字符将不会进行转义。如何取得其值参见ini_get()



为什么要用魔术引号

  • 对初学者很有用
    魔术引号在 PHP 中用来实现避免初学者的代码更危险。尽管 SQL 注入 在魔术引号打开的情况下仍然有可能实现,但起码系统的风险减少很多了。

  • 方便使用
    当向数据库中插入数据时,魔术引号所做的就是自动对所有的 GET、POST、COOKIE 数据运用 addslashes() 函数。



为什么不用魔术引号

  • 可移植性
    编程时认为其打开或并闭都会影响到移植性。可以用 get_magic_quotes_gpc() 来检查是否打开,并据此编程。

  • 性能
    由于并不是每一段被转义的数据都要插入数据库的,如果所有进入 PHP 的数据都被转义的话,那么会对程序的执行效率产生一定的影响。在运行时调用转义函数(如 addslashes())更有效率。
    尽管 php.ini-dist 默认打开了这个选项,但是 php.ini-recommended 默认却关闭了它,主要是出于性能的考虑。

  • 不便
    由于不是所有数据都需要转义,在不需要转义的地方看到转义的数据就很烦。比如说通过表单发送邮件,结果看到一大堆的 \'。针对这个问题,可以使用 stripslashes()函数处理。



关闭魔术引号
magic_quotes_gpc 指令只能在系统级关闭,不能在运行时。也就是说不能用 ini_set()
[bash title="下面是一个通过 php.ini 文件把这些选项设为 Off 的范例"]
; Magic quotes
;

; Magic quotes for incoming GET/POST/Cookie data.
magic_quotes_gpc = Off

; Magic quotes for runtime-generated data, e.g. data from SQL, from exec(), etc.
magic_quotes_runtime = Off

; Use Sybase-style magic quotes (escape ' with '' instead of \').
magic_quotes_sybase = Off
[/bash]

如果不能修改服务器端的配置文件,使用 .htaccess 也可以。范例如下:
[bash]
php_flag magic_quotes_gpc Off
[/bash]

为了能写出移植性较强的代码(可以运行于任何环境),例如不能修改服务器配置的情况,下面的例子可以在运行时关闭 magic_quotes_gpc 。但是这样做比较低效,适当的修改配置才是更好的办法。

[php title="在运行时关闭魔术引号"]
if ( get_magic_quotes_gpc()) {
function stripslashes_deep ($value) {
$value = is_array($value) ?
array_map('stripslashes_deep', $value) :
stripslashes($value);
return $value ;
}

$_POST = array_map ('stripslashes_deep', $_POST);
$_GET = array_map ('stripslashes_deep', $_GET);
$_COOKIE = array_map ('stripslashes_deep', $_COOKIE);
}

function addslashes_deep($var) {
if(is_array($var)) {
return array_map('addslashes_deep',$var);
} else {
if(get_magic_quotes_gpc()) {
// 如果 magic_quotes_sybase=On,我们先把 " 替换成 ',然后再addslashes
if(ini_get('magic_quotes_sybase')) {
$var = str_replace("\"", "'", $var);
$var = addslashes($var);
}
} else {
$var = addslashes($var);
}
return trim($var);
}
}
[/php]
发帖者 时间:
标签: ,

没有评论 :

发表评论

订阅: 博文评论 ( Atom )