PHPmagic_quotes_gpc的正确处理方式
内容导读
互联网集市收集整理的这篇技术教程文章主要介绍了PHPmagic_quotes_gpc的正确处理方式,小编现在分享给大家,供广大互联网技能从业者学习和参考。文章包含1309字,纯文字阅读大概需要2分钟。
内容图文
大多的PHP程序,都有这样的逻辑:
如果发现php.ini配置为不给GPC变量自动添加转义斜线,则PHP自动为GPC添加转义斜线
但是事实上,这是错误的,因为它改变了GPC变量原来的值.
有这个遗留习惯的原因是PHP程序使用往往配合mysql, 而mysql对特殊字符的转义,采取的是添加转义斜线,但是其它数据如mssql,oci呢,不一定是这样的.
如果使用其它类型数据库,如mssql,oci,sybase 那么,给GPC添加转义斜线,更是个错误
进一步,如果GPC数据不需要存入数据库,而保存到文件系统,或转发给其它程序呢?更是很严重的错误逻辑.
所以,正确的做法是:
1.PHP程序入口去掉转义斜线(若php.ini配置为自动添加转义斜线)
2.在写入mysql时,使用mysql_real_escape_string而不是addcslashes来转义变量
因为前者比后者更为安全(字符集相关的)
db类中已考虑到这个问题,详情参阅db_mysql.class.php,搜寻mysql_real_escape_string
目前有以下案例:
积分商城的php.ini配置为自动添加转义斜线,用户提交的数据写入cookie时,需要及时去掉斜线
discuz 6.0的论坛,特殊用户名中的"頫"经过addcslashes处理后,竟然变成"頫\",后面多了一个斜线,这是discuz 6的一个bug.
那么,综述一下:
1.针对系统管理员,应该配置php.ini
magic_quotes_gpc=Off
magic_quotes_runtime=Off
magic_quotes_sybase=Off
针对php开发人员,更准确的逻辑:
1.检查php环境是否配置为自动添加转义斜线,若是,应该调用stripslashes去掉$_REQUEST, $_GET,$_POST,$_COOKIE的转义斜线
2.查询/写入/修改数据至mysql时,再使用mysql_real_escape_string转义之。
内容总结
以上是互联网集市为您收集整理的PHPmagic_quotes_gpc的正确处理方式全部内容,希望文章能够帮你解决PHPmagic_quotes_gpc的正确处理方式所遇到的程序开发问题。 如果觉得互联网集市技术教程内容还不错,欢迎将互联网集市网站推荐给程序员好友。
内容备注
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 gblab@vip.qq.com 举报,一经查实,本站将立刻删除。
内容手机端
扫描二维码推送至手机访问。