PHP教程Magicquotes计算机软件及应用IT计算机专业资料.docxVIP

PHP 教程 Magic quotes 对于Magic quotes,对于PHPer而言是个老牛:常谈的问题。今天无意间看到篇文章，结合 PHP Manual以及其回复，在这里做个简单的汇总。 简而言之，Magic quotes开启后会自动转义输入的数据。其屮，所有的单引号C)、双引号 (”)、反斜线、和NULL字符都会被转义(增加个反斜线)，其实这操作本质上调用的是 addslashes 函数。 为什么使丿LI Magic quotes 方便快捷 PHP的设计者在设计之初的构想就是能够快速方便的编程。例如插入数据库时，Magic quotes会自动将数据转义，这很方便。 对初学者有利 Magic quotes可以从一定程度上，让初学者带离脚本的安全风险。例如在没有任何保护措施 的代码卜，开启了 Magic quotes后会少很多的风险，例如注入问题。当然，单一使川此方 法，并不能完全阻止此类安全问题。 “我没冇权限去关闭” 很显然你已经可能意识到了这个问题，但是主机空间并非完全由白己控制。 为什么不使用Magic quotes 可移植性 无论此功能是否开启，它都会影响脚木的可移植性，因为它影响我们示续过滤数据的操作。 性能冋题 在获取所有的外部数据Z前都会被转义，这无疑会增加运行吋的花销(而且并不是所有的数 据都需要转义)。 造成闲惑 正如上述所言，并非所有的数据都需要被转义。有可能出现的一种情况，就是当你为了获取 未被转义的数据，而疯狂的”使用stripslashes函数。 PHP6已经不支持 PHP的设计者显然已经意识到了自己的“错误”，所以在PHP6中已经将英废弃。 如何禁用Magic quotes 按照本人观点，使用php.ini配置文件全局禁用Magic quotes是最靠谱的。参考下而的代 码 ;Magic quotes ;Magic quotes for incoming GET/POST/Cookie data. magic_quotes_gpc = Off ;Magic quotes for runtime-generated data, e.g. data from SQL, from exec(), etc. magic_quotcs_runtimc = Off ;Use Sybase-style magic quotes (escape 1 with n instead of *). magic_quotes_sybase = Off 然而线上的主机可能无法让你修改php.ini文件，那么可以使用.htaccess文件禁用，加入 下面的代码 php_flag magic_quotcs_gpc Off 上述可移植的代码而言，无论是否禁用magic_quotes,数据必须保持一致。那么下面的代 码可以帮助您 ?php if (get_magic_quotes_gpc()) { function stripslashes_deep($value) { $value = is_array(Svalue) ? array_map(tstripslashes_deep\ $value): stripslashes(Svalue); return $valuc; 对于Magic quotes,对于PHPcr而言是个老生常谈的问题。今天无意间看到篇文章，结合 PHP Manual以及其回复，在这里做个简单的汇总。 简而言之，Magicquotes开启后会自动转义输入的数据。其中，所有的单引号C）、双引号 （”）、反斜线、和NULL字符祁会被转义（增加个反斜线），其实这操作本质上调用的是 addslashcs 函数。 为什么使用Magic quotes 方便快捷 PHP的设计者在设计Z初的构想就是能够快速方便的编程。例如插入数据库吋，Magic quotes会自动将数据转义，这很方便。 对初学者有利 Magic quotes可以从一定程度上，让初学者带离脚本的安全风险。例如在没有任何保护措施 的代码下，开启了 Magic quotes后会少很多的风险，例如注入问题。当然，单一使用此方 法，并不能完全阻止此类安全问题。 “我没冇权限去关闭” 很显然你已经可能意识到了这个问题，但是主机空间并非完全山自己控制。 为什么不使用Magic quotes 可移植性 无论此功能是否开启，它都会影响脚本的町移植性，因为它影响我们后续过滤数据的操作。 性能问题 在获収所有的外部数据之前都会被转义，这无疑会增加运行时的花销（而JJ?并不是所有的数 据都需要转义）。 造成因惑 正如上述所言，并非所有的数据都需要被转义。有可能出现的一种情况，就是当你为了获取 未被转义的数据，而“疯狂的”使用stripslashes函数。 PHP6已经不支持