首页 / PHP / 编写不受魔术引号影响的php应用
编写不受魔术引号影响的php应用
内容导读
互联网集市收集整理的这篇技术教程文章主要介绍了编写不受魔术引号影响的php应用,小编现在分享给大家,供广大互联网技能从业者学习和参考。文章包含4397字,纯文字阅读大概需要7分钟。
内容图文
阅读前提:你必须看过php手册上的"第IV部分安全"的"第10章魔术引号"。如果没看过,也没问题,现在马上花10分钟先看一下php手册上的这东西。魔术引号(Magic Quote)是一个自动将进入 PHP 脚本的数据进行转义的过程
你可能想让你的程序兼容多个数据库,但你使用的不同的数据库可能使用不同的转义符,而我们的程序又有可能运行在不同的php.ini配置的主机上,关于magic_quotes的配置又可能不一样,所以编写不受魔术引号影响的php应用是高兼容性的php应用所必须的。
php.ini中有三个魔术引号配置选项:
| 魔术引号配置选项 | 描述 | 运行时改变 | 在 PHP中的默认值为 |
| magic_quotes_gpc | 如果打开的话,影响到 HTTP 请求数据(GET,POST 和 COOKIE)。 | 不能 | On |
| magic_quotes_runtime | 如果打开的话,大部份从外部来源取得数据并返回的函数,包括从数据库和文本文件,所返回的数据都会被反斜线转义。(前提是magic_quotes_gpc = On) | 能 | Off |
| magic_quotes_sybase | 当关闭时,所有的 '(单引号),"(双引号),/(反斜线)和 NULL 字符都会被自动加上一个反斜线进行转义。这和 addslashes() 作用完全相同。 | 能 | Off |
但是要处理外部传来的全局变量就比较麻烦了。
要 处理外部超级变量,我们要看magic_quotes_gpc是否已经打开(如果magic_quotes_gpc没打开,而 magic_quotes_sybase打开,magic_quotes_sybase也不起作用),还要看magic_quotes_sybase是否 打开,再看我们的程序需要对外部变量用addslashes转义方式还是使用magic_quotes_sybase式的转义方式。下面的代码是一个具体 的实现。
有人可能说,当magic_quotes_gpc设成On,而magic_quotes_sybase设成Off,那么直接用 ini_set('magic_quotes_sybase', 1);就能让系统用'来对addslashes式的转义进行覆盖。这样是不行的。你用ini_get('magic_quotes_sybase')输出 看下配置,magic_quotes_sybase的确被改变了,但是你的代码就是不能用'转义符覆盖addslashes式的自动转义。这是因为系统获 取外部变量的时候,是在你的ini_set('magic_quotes_sybase', 1);之前完成的。
<?php
/**
* 解决不受magic_quotes影响的php应用
*
* 使用这个处理办法需要配置是否使用magic_quotes_sybase, 以适应不同的DBMS
*
* 设置方法:
* $useQuotesSybase[数据库名] = 1;
* 如:使用sqlite,则定义并初始化 $useQuotesSybase['sqlite'] = 1;
* 如果使用mysql,可以定义并初始化 $useQuotesSybase['sqlite'] = 0; 也可以不定义
*
* CONFIG_DB_DBMS 为所用的DBMS的常量, 在别处定义。比如 define('CONFIG_DB_DBMS', 'mysql');
*
* @author 流水孟春 cmpan(at)qq.com
* @link http://lib.cublog.cn
* $date 2007.11.18
*/
error_reporting(E_ALL);
set_magic_quotes_runtime(0);
define('CONFIG_DB_DBMS', 'sqlite'); // 测试用
// 使用 ' 做转义符的数据库
$useQuotesSybase = array();
$useQuotesSybase['sqlite'] = 1;
$useQuotesSybase['sybase'] = 1;
if(!empty($_POST)) $_POST = array_map('quotesOuterVars', $_POST);
if(!empty($_GET)) $_GET = array_map('quotesOuterVars', $_GET);
$_COOKIE = array_map('quotesOuterVars', $_COOKIE);
$_REQUEST = array_map('quotesOuterVars', $_REQUEST);
function quotesOuterVars($var) {
if (is_array($var)) {
return array_map('quotesOuterVars',$var);
} else {
if (get_magic_quotes_gpc()) {
if (isset($GLOBALS['useQuotesSybase'][CONFIG_DB_DBMS]) && $GLOBALS['useQuotesSybase'][CONFIG_DB_DBMS]) {
// 当前需要以 ' 为转义符
// 如果 magic_quotes_sybase = Off, 系统将把外部变量 addslashes, 我们得先 stripslashes
// 否则系统自动把 ' 换成 '',
if (!ini_get('magic_quotes_sybase')) {
$var = stripslashes($var);
$var = str_replace("'", "''", $var);
}
} else {
// 当前需要以 / 为转义符
// 如果 magic_quotes_sybase = On, 我们先把 '' 替换成 ', 然后在 addslashes
// 否则系统自动quotes
if (ini_get('magic_quotes_sybase')) {
$var = str_replace("'", "''", $var);
$var = addslashes($var);
}
}
} else{
if (isset($GLOBALS['useQuotesSybase'][CONFIG_DB_DBMS]) && $GLOBALS['useQuotesSybase'][CONFIG_DB_DBMS]) {
$var = str_replace("'", "''", $var);
} else {
$var = addslashes($var);
}
}
return trim($var);
}
}
从上面的表我们可以看出,对于magic_quotes_runtime,我在程序中用 ini_set('magic_quotes_runtime', 0);就可以把它关掉,然后可以用自己的方法来处理来自数据库或文件的数据。
内容总结
以上是互联网集市为您收集整理的编写不受魔术引号影响的php应用全部内容,希望文章能够帮你解决编写不受魔术引号影响的php应用所遇到的程序开发问题。 如果觉得互联网集市技术教程内容还不错,欢迎将互联网集市网站推荐给程序员好友。
内容备注
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 gblab@vip.qq.com 举报,一经查实,本站将立刻删除。
内容手机端
扫描二维码推送至手机访问。