PHP 魔术引号
1、魔术引号的作用是什么?
魔术引号设计的初衷是为了让从数据库或文件中读取数据和从请求中接收参数时,对单引号、双引号、反斜线、NULL加上一个一个反斜线进行转义,这个的作用跟addslashes()的作用完全相同。
2、转义的作用?
正确地接收和读取数据,从而正确地执行SQL语句。比如从前台接收一个参数,假定为$para,后台接收到参数后要执行一条查询的SQL语句,拼接sql语句时,把参数传进入,类似于
”SELECT * FROM
TABLEWHERE
FIELD1= $para AND
FILED2= ‘xxx’”的形式。
如果参数中含有双引号如”value,那SQL语句就会变成
“SELECT * FROM
TABLEWHERE
FIELD1= “value AND
FIELD2= ‘xxx’”
本来是执行上面的红色语句,结果变成下面的红色语句,并不是我们想要的,需要让系统能够认清真正地SQL语句起始符和结束符,这就需要转义了,转义完变成
“SELECT * FROM
TABLEWHERE
FIELD1= \“value AND
FIELD2= ‘xxx’”;
真正执行的SQL语句如上,达到想要的查询表中,字段FIELD1为”value和字段FIELD2为xxx的数据。
3、为什么在PHP5.4.0之后取消了魔术引号特性?
(1)可移植性
编程时认为其打开或并闭都会影响到移植性。可以用 get_magic_quotes_gpc() 来检查是否打开,并据此编程。
(2)性能
由于并不是每一段被转义的数据都要插入数据库的,如果所有进入 PHP 的数据都被转义的话,那么会对程序的执行效率产生一定的影响。在运行时调用转义函数(如 addslashes())更有效率。 尽管 php.ini-dist 默认打开了这个选项,但是 php.ini-recommended 默认却关闭了它,主要是出于性能的考虑。
(3)方便
由于不是所有数据都需要转义,在不需要转义的地方看到转义的数据就很烦。比如说通过表单发送邮件,结果看到一大堆的 '。针对这个问题,可以使用 stripslashes() 函数处理。
4、php.ini相关配置
魔术引号配置选项 |
描述 |
运行时改变 |
PHP中的默认值 |
magic_quotes_gpc |
如果打开的话,影响 到 HTTP 请求数据(GET,POST 和 COOKIE)。 |
NO |
ON |
magic_quotes_runtime |
如果打开的话,大部 份从外部来源取得数据并返回的函数,包括从数据库和文本文件,所返回的数据都会被反斜线转义。(前提是magic_quotes_gpc = On) |
NO |
OFF |
Magic_quotes_sybase |
当关闭时,所有的 (单引号),"(双引号),(反斜线)和 NULL 字符都会被自动加上一个反斜线进行转义。这和 addslashes() 作用完全相同。 如果打开的话,将会使用单引号对单引号进行转义而非反斜线。此选项会完全覆盖 magic_quotes_gpc。如果同时打开两个选项的话,单引号将会被转义成 。而双引号、反斜线 和 NULL 字符将不会进行转义。 (前提是magic_quotes_gpc = On) |
YES |
OFF |
set_magic_quotes_runtime(),设置当前magic_quotes_runtime 配置选项的激活状态,0为关闭,1为开启。啥意思呢?这样理解,如是set_magic_quotes_runtime(1)或是配置文件中magic_quotes_runtime为true(这个在php.ini中配置),那么php脚本读取文件或是从数据库中读取数据,遇到反斜线(\)、单引号(')、双引号(")、NULL时,会在前面自动加上转义字符,变成\\、\'、\”、\NULL;若是关闭的话,也就是set_magic_quotes_runtime(0)magic_quotes_runtime为false,那么便会转义,此时可以借助addslashes进行转义。
magic_quotes_gpc(),当此值为1时,会对HTTP请求中的G($_GET)、P($_POST)、C($_COOKIE)单双引号和反斜线进行转义;反之则不会。该操作一般见于表单提交的数据库操作,若是值为0时,便用addslashes进行转义存入数据库中,取出时再用stripslashes函数把反斜线给去掉。
PS.在PHP 5.4版本时,魔术引号被移除了,因此转义都需要加上addslashes函数。