php中什么是魔术引号-php教程-PHP中文网

首页

后端开发

php教程

php中什么是魔术引号

藏色散人

May 30, 2019 am 11:28 AM

什么是魔术引号：

魔术引号是程序自动将进入PHP脚本的数据进行转意的过程。当打开时，所有的 '（单引号），"（双引号），（反斜线）和 NULL 字符都会被自动加上一个反斜线进行转义。和 addslashes() 函数的作用完全相同。

魔术引号指令：

magic_quotes_gpc 影响到 HTTP 请求数据（GET，POST 和 COOKIE）。不能在运行时改变。在 PHP 中默认值为 on。参见 get_magic_quotes_gpc()。

magic_quotes_runtime 如果打开的话，大部份从外部来源取得数据并返回的函数，包括从数据库和文本文件，所返回的数据都会被反斜线转义。该选项可在运行的时改变，在 PHP 中的默认值为 off。见 set_magic_quotes_runtime() 和 get_magic_quotes_runtime()。

magic_quotes_sybase 如果打开的话，将会使用单引号对单引号进行转义而非反斜线。此选项会完全覆盖 magic_quotes_gpc。如果同时打开两个选项的话，单引号将会被转义成 ''。而双引号、反斜线和 NULL 字符将不会进行转义。如何取得其值参见 ini_get()。

魔术引号作用：

当初引入魔术引号是安全方面的考虑，阻止SQL注入，它能帮助php新手在不知不觉中写成相对更安全的代码，不过在今天，程序员已经能很好的意识到了这个安全问题，并最终使用数据库转移机制或者 prepared 语句来取代魔术引号功能。

魔术引号缺陷：

可移植性：编程时认为其打开或并闭都会影响到移植性。可以用 get_magic_quotes_gpc() 来检查是否打开，并据此编程。

性能：由于并不是每一段被转义的数据都要插入数据库的，如果所有进入 PHP 的数据都被转义的话，那么会对程序的执行效率产生一定的影响。在运行时调用转义函数（如 addslashes()）更有效率。尽管 php.ini-dist 默认打开了这个选项，但是 php.ini-recommended 默认却关闭了它，主要是出于性能的考虑。

不便：由于不是所有数据都需要转义，在不需要转义的地方看到转义的数据就很烦。比如说通过表单发送邮件，结果看到一大堆的 '。针对这个问题，可以使用 stripslashes() 函数处理。

开关魔术引号：

magic_quotes_gpc 是不能通过ini_set()的来设置的，设置magic_quotes_gpc有三种方法。

1、修改PHP配置文件php.ini。这种方法需要对服务器有管理权限才能修改，如果只是虚拟空间就只能使用后面两种方法。

; Magic quotes
; Magic quotes for incoming GET/POST/Cookie data.
magic_quotes_gpc = Off
; Magic quotes for runtime-generated data, e.g. data from SQL, from exec(), etc.
magic_quotes_runtime = Off
Use Sybase-style magic quotes (escape &#39; with &#39;&#39; instead of \&#39;).
Magic_quotes_sybase = Off

登录后复制

2、在htaccess中设置。只有服务器支持htaccess的情况下这种才能使用，

php_flag magic_quotes_gpc Off

登录后复制

3、代码中屏蔽。这种方法的移植性较强，但是效率最低，所以在有服务器管理权限的时候通过修改配置文章的方式关闭magic_quotes_gpc是最好的。

实例代码：

<?php
if (get_magic_quotes_gpc()) {
    function stripslashes_deep($value)
    {
        $value = is_array($value) ?
                    array_map(&#39;stripslashes_deep&#39;, $value) :
                    stripslashes($value);
        return $value;
    }
    $_POST = array_map(&#39;stripslashes_deep&#39;, $_POST);
    $_GET = array_map(&#39;stripslashes_deep&#39;, $_GET);
    $_COOKIE = array_map(&#39;stripslashes_deep&#39;, $_COOKIE);
    $_REQUEST = array_map(&#39;stripslashes_deep&#39;, $_REQUEST);
}
?>

登录后复制

总结：

当初是为了阻止SQL注入的需要引入了魔法引号，对于开发者有一定好的好友，但在使用的时候也带来很多的不便，现在有了更多更好的方案来替代，所以如果还是在php 5.3.0或php 5.3.0之前的版本做开发应该尽量避免使用魔法引号，php 5.4.0以后已经移除了。

以上是php中什么是魔术引号的详细内容。更多信息请关注PHP中文网其他相关文章！

本站声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

热AI工具

热工具

热门话题

gmail邮箱登陆入口在哪里

7521

CakePHP 教程

1378

steam的账户名称是什么格式

win11激活密钥永久

NYT连接提示和答案

显示更多

Related knowledge

支付宝PHP SDK转账报错：如何解决'Cannot declare class SignData”问题？ Apr 01, 2025 am 07:21 AM

支付宝PHP...

在PHP API中说明JSON Web令牌（JWT）及其用例。 Apr 05, 2025 am 12:04 AM

JWT是一种基于JSON的开放标准，用于在各方之间安全地传输信息，主要用于身份验证和信息交换。1.JWT由Header、Payload和Signature三部分组成。2.JWT的工作原理包括生成JWT、验证JWT和解析Payload三个步骤。3.在PHP中使用JWT进行身份验证时，可以生成和验证JWT，并在高级用法中包含用户角色和权限信息。4.常见错误包括签名验证失败、令牌过期和Payload过大，调试技巧包括使用调试工具和日志记录。5.性能优化和最佳实践包括使用合适的签名算法、合理设置有效期、

解释PHP中晚期静态结合的概念。 Mar 21, 2025 pm 01:33 PM

文章讨论了PHP 5.3中引入的PHP中的晚期静态结合（LSB），从而允许静态方法的运行时分辨率调用以获得更灵活的继承。 LSB的实用应用和潜在的触摸

框架安全功能：防止漏洞。 Mar 28, 2025 pm 05:11 PM

文章讨论了框架中的基本安全功能，以防止漏洞，包括输入验证，身份验证和常规更新。

如何用PHP的cURL库发送包含JSON数据的POST请求？ Apr 01, 2025 pm 03:12 PM

使用PHP的cURL库发送JSON数据在PHP开发中，经常需要与外部API进行交互，其中一种常见的方式是使用cURL库发送POST�...

自定义/扩展框架：如何添加自定义功能。 Mar 28, 2025 pm 05:12 PM

本文讨论了将自定义功能添加到框架上，专注于理解体系结构，识别扩展点以及集成和调试的最佳实践。

描述扎实的原则及其如何应用于PHP的开发。 Apr 03, 2025 am 12:04 AM

SOLID原则在PHP开发中的应用包括：1.单一职责原则（SRP）：每个类只负责一个功能。2.开闭原则（OCP）：通过扩展而非修改实现变化。3.里氏替换原则（LSP）：子类可替换基类而不影响程序正确性。4.接口隔离原则（ISP）：使用细粒度接口避免依赖不使用的方法。5.依赖倒置原则（DIP）：高低层次模块都依赖于抽象，通过依赖注入实现。