引用符のちょっとした理解と分析 php magic_quotes_gpc
blankyao さんは、「学習のプロセスは、常に間違いを発見し、常に修正することです。」
まずマニュアルに書いてあることを読みましょう。
一般の方は、最初の 2 つの段落だけ読んでください
マジック クオート
コード:
マジック クォートは、受信データを PHP スクリプトに自動的にエスケープするプロセスです。マジック クォートをオフにしてコーディングし、代わりに実行時にデータをエスケープすることをお勧めします。必要に応じて
マジック引用符とは
コード:
オンにすると、すべての ' (一重引用符)、" (二重引用符)、(バックスラッシュ)、および NULL 文字がバックスラッシュで自動的にエスケープされます。これは、スラッシュ () を追加するものと同じです。
3 つのマジック クォート ディレクティブがあります:
magic_quotes_gpc
コード:
HTTP リクエスト データ (GET、POST、および COOKIE) に影響し、PHP ではデフォルトでオンになります。 、データベースやテキスト ファイルなど、外部ソースからデータを返すほとんどの関数では、引用符がバックスラッシュでエスケープされます。実行時に設定でき、PHP ではデフォルトでオフになります。 quote はバックスラッシュではなく単一引用符でエスケープされます。オンの場合、magic_quotes_gpc が完全にオーバーライドされます。両方のディレクティブを有効にすると、二重引用符、バックスラッシュ、および NULL のみがそのまま残り、エスケープされません。マジッククォート
1 初心者に便利
初心者が書いたコードが危険でないようにマジッククォートが PHP に実装されていますが、マジッククォートをオンにしても SQL インジェクションは可能ですが、リスクは軽減されます
2 データベースにデータを挿入する場合。 magic quotes は基本的にすべての Get、Post、Cookie データに対して addslashes() を実行し、それを自動的に実行します。
Magic Quotes を使用しない理由
1 移植性
コード:
on か off であると仮定すると、get_magic_quotes_gpc を使用します。 () をチェックして、それに応じてコーディングします。
2 パフォーマンス
コード:
エスケープされたデータのすべてがデータベースに挿入されるわけではないため、このデータをすべてエスケープする関数 (たとえば、実行時に addlashes()) を実行する方が効率的です。
php.ini-dist はデフォルトでこれらのディレクティブを有効にしますが、php.ini-recommended は主にパフォーマンス上の理由からです。データはエスケープする必要があります。たとえば、フォームからメールを送信すると、メール内に ' が大量に表示され、これを修正するには、stripslashes() を過剰に使用する必要がある場合があります。これらの英語の単語は、私のような人には十分な忍耐力が必要です (私に忍耐力があるわけではありませんが、私の英語は下手です)。先ほども言いましたが、一般の人は最初の 2 つの段落、特に赤で強調した単語を読んでください。 ! ! !
さらに、$_GET、$_POST、$_COOKIE を渡すときにマジック引用符が有効になるという事実に特別な注意が払われます
以下の場合が当てはまります
コード:
1
条件: magic_quotes_gpc=off
に書き込まれる文字列データベースはフィルタ処理を通過していません。データベースから読み取られた文字列は一切処理されません。
データ: $data="snow''''sun"; (snow と sun の間には 4 つの連続した一重引用符があります)
操作: 文字列「snow''''sun」をデータベースに書き込みます。
結果: SQL ステートメント エラーが発生しました。MySQL は SQL ステートメントを正常に完了できず、データベースへの書き込みに失敗しました。
データベース保存形式: データがありません。
出力データ形式: データなし。
注: 未処理の一重引用符は、データベースに書き込まれるときに SQL ステートメント エラーを引き起こします。
コード:
2.
条件: magic_quotes_gpc=off
データベースに書き込まれた文字列は関数addlashes()によって処理されます。データベースから読み取られた文字列は一切処理されません。
データ: $data="snow''''sun"; (snow と sun の間には 4 つの連続した一重引用符があります)
操作: 文字列「snow''''sun」をデータベースに書き込みます。
結果: SQL ステートメントが正常に実行され、データがデータベースに正常に書き込まれました。
データベース保存形式: Snow''''sun (入力と同じ)
出力データ形式: Snow''''sun (入力と同じ)
手順: addedlashes() この関数は、SQL ステートメントが正常に実行できるように、一重引用符をエスケープ文字に変換します。
ただし、データベースには雪は保存されず、雪は保存されません。
コード:
3.
条件: magic_quotes_gpc=on
データベースに書き込まれる文字列は一切処理されません。データベースから読み取られた文字列は一切処理されません。
データ: $data="snow''''sun"; (snow と sun の間には 4 つの連続した一重引用符があります)
操作: 文字列「snow''''sun」をデータベースに書き込みます。
結果: SQL ステートメントが正常に実行され、データがデータベースに正常に書き込まれました。
データベース保存形式: Snow''''sun (入力と同じ)
出力データ形式: Snow''''sun (入力と同じ)
説明: magic_quotes_gpc=on 一重引用符を ' エスケープ文字に変換すると、SQL ステートメントは正常に実行されますが、 ' はデータとしてデータベースに入力されず、データベースは、snow''''sun の代わりに、snow''''sun を保存します。私たちは想像しました。
コード:
4.
条件: magic_quotes_gpc=on
データベースに書き込まれた文字列は関数 addlashes() によって処理されます。データベースから読み取られた文字列は一切処理されません。
データ: $data="snow''''sun"; (snow と sun の間には 4 つの連続した一重引用符があります)
操作: 文字列「snow''''sun」をデータベースに書き込みます。
結果: SQL ステートメントはスムーズに実行され、データはデータベースに正常に書き込まれました。
データベース保存形式: Snow''''sun (エスケープ文字を追加)
出力データ形式: Snow''''sun (エスケープ文字を追加)
命令: magic_quotes_gpc=on は SQL ステートメントが正常に実行できるように一重引用符を 'エスケープ文字に変換します。
addslashes はデータベースに書き込もうとしている一重引用符を ' に変換し、後者の変換は
ファイルに書き込まれます。データベースをデータとして保存し、データベースは雪です '''' 太陽です
概要は次のとおりです:
1. magic_quotes_gpc=on の場合、
addslashes() およびtripslashes() 操作を実行することはできません。入出力データベースの文字列データを取得すると、データは正常に表示されます。
この時点で入力データに対してaddslashes()を実行する場合、
出力時にstripslashes()を使用して余分なバックスラッシュを削除する必要があります。
2. magic_quotes_gpc=off の場合
入力データを処理するために addslashes() を使用する必要がありますが、addslashes() はバックスラッシュをまとめてファイルに書き込まないため、出力をフォーマットするためにstripslashes() を使用する必要はありません
データベースでは、これは mysql が SQL ステートメントの実行を完了するのに役立つだけです。
補足:
magic_quotes_gpc アクションの範囲: WEB クライアント サーバー; アクション時間: スクリプトの実行時など、リクエストの開始時。
magic_quotes_runtime スコープ: ファイルから読み取られたデータ、または exec() の実行結果、または SQL クエリから取得されたデータ; アクションの時間: スクリプトが実行状態で生成されたデータにアクセスするたび
上記では、引用符の内容を含め、php magic_quotes_gpc の理解と分析を紹介しました。PHP チュートリアルに興味のある友人に役立つことを願っています。

ホットAIツール

Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。

Undress AI Tool
脱衣画像を無料で

Clothoff.io
AI衣類リムーバー

Video Face Swap
完全無料の AI 顔交換ツールを使用して、あらゆるビデオの顔を簡単に交換できます。

人気の記事

ホットツール

メモ帳++7.3.1
使いやすく無料のコードエディター

SublimeText3 中国語版
中国語版、とても使いやすい

ゼンドスタジオ 13.0.1
強力な PHP 統合開発環境

ドリームウィーバー CS6
ビジュアル Web 開発ツール

SublimeText3 Mac版
神レベルのコード編集ソフト(SublimeText3)

ホットトピック









JWTは、JSONに基づくオープン標準であり、主にアイデンティティ認証と情報交換のために、当事者間で情報を安全に送信するために使用されます。 1。JWTは、ヘッダー、ペイロード、署名の3つの部分で構成されています。 2。JWTの実用的な原則には、JWTの生成、JWTの検証、ペイロードの解析という3つのステップが含まれます。 3. PHPでの認証にJWTを使用する場合、JWTを生成および検証でき、ユーザーの役割と許可情報を高度な使用に含めることができます。 4.一般的なエラーには、署名検証障害、トークンの有効期限、およびペイロードが大きくなります。デバッグスキルには、デバッグツールの使用とロギングが含まれます。 5.パフォーマンスの最適化とベストプラクティスには、適切な署名アルゴリズムの使用、有効期間を合理的に設定することが含まれます。

セッションハイジャックは、次の手順で達成できます。1。セッションIDを取得します。2。セッションIDを使用します。3。セッションをアクティブに保ちます。 PHPでのセッションハイジャックを防ぐための方法には次のものが含まれます。1。セッション_regenerate_id()関数を使用して、セッションIDを再生します。2。データベースを介してストアセッションデータを3。

PHP開発における固体原理の適用には、次のものが含まれます。1。単一責任原則(SRP):各クラスは1つの機能のみを担当します。 2。オープンおよびクローズ原理(OCP):変更は、変更ではなく拡張によって達成されます。 3。Lischの代替原則(LSP):サブクラスは、プログラムの精度に影響を与えることなく、基本クラスを置き換えることができます。 4。インターフェイス分離原理(ISP):依存関係や未使用の方法を避けるために、細粒インターフェイスを使用します。 5。依存関係の反転原理(DIP):高レベルのモジュールと低レベルのモジュールは抽象化に依存し、依存関係噴射を通じて実装されます。

システムが再起動した後、UnixSocketの権限を自動的に設定する方法。システムが再起動するたびに、UnixSocketの許可を変更するために次のコマンドを実行する必要があります:sudo ...

phpstormでCLIモードをデバッグする方法は? PHPStormで開発するときは、PHPをコマンドラインインターフェイス(CLI)モードでデバッグする必要がある場合があります。

静的結合(静的::) PHPで後期静的結合(LSB)を実装し、クラスを定義するのではなく、静的コンテキストで呼び出しクラスを参照できるようにします。 1)解析プロセスは実行時に実行されます。2)継承関係のコールクラスを検索します。3)パフォーマンスオーバーヘッドをもたらす可能性があります。

PHP開発でPHPのCurlライブラリを使用してJSONデータを送信すると、外部APIと対話する必要があることがよくあります。一般的な方法の1つは、Curlライブラリを使用して投稿を送信することです。
