get_magic_quotes_gpc函数是一个用来判断是否为用户提供的数据增加斜线了,这个在php.ini配置文件中,下面我来介绍一下get_magic_quotes_gpc()函数说明.
get_magic_quotes_gpc函数介绍
取得 PHP 环境变数 magic_quotes_gpc 的值,属于 PHP 系统功能。
语法:long get_magic_quotes_gpc(void);
返回值:长整数
本函数取得 PHP 环境配置的变量 magic_quotes_gpc (GPC, Get/Post/Cookie) 值。返回 0 表示关闭本功能;返回 1 表示本功能打开。
当 magic_quotes_gpc 打开时,所有的 ‘ (单引号), ” (双引号), (反斜线) and 空字符会自动转为含有反斜线的溢出字符。
magic_quotes_gpc设置是否自动为GPC(get,post,cookie)传来的数据中的’”加上反斜线。可以用get_magic_quotes_gpc()检测系统设置。
如果没有打开这项设置,可以使用addslashes()函数添加,它的功能就是给数据库查询语句等的需要在某些字符前加上了反斜线。
这些字符是单引号(’)、双引号(”)、反斜线()与 NUL(NULL 字符)。
默认情况下,PHP 指令 magic_quotes_gpc 为 on,它主要是对所有的 GET、POST 和 COOKIE 数据自动运行 addslashes()。
不要对已经被 magic_quotes_gpc 转义过的字符串使用 addslashes(),因为这样会导致双层转义。遇到这种情况时可以使用函数 get_magic_quotes_gpc() 进行检测。
例,利用 get_magic_quotes_gpc()预防数据库攻击的正确做法,代码如下:
- <?php
- function check_input($value)
- {
- // 去除斜杠
- if (get_magic_quotes_gpc())
- {
- $value = stripslashes($value);
- }
- // 如果不是数字则加引号
- if (!is_numeric($value))
- {
- $value = “‘” . mysql_real_escape_string($value) . “‘”;
- }
- return $value;
- }
- $con = mysql_connect(“localhost”, “hello”, “321″);
- if (!$con)
- {
- die(‘Could not connect: ‘ . mysql_error());
- }//开源代码phpfensi.com
- // 进行安全的 SQL
- $user = check_input($_POST['user']);
- $pwd = check_input($_POST['pwd']);
- $sql = “SELECT * FROM users WHERE
- user=$user AND password=$pwd”;
- mysql_query($sql);
- mysql_close($con);
- ?>
总结如下:
1. 对于magic_quotes_gpc=on的情况,
我们可以不对输入和输出数据库的字符串数据作
addslashes()和stripslashes()的操作,数据也会正常显示。
如果此时你对输入的数据作了addslashes()处理,那么在输出的时候就必须使用stripslashes()去掉多余的反斜杠。
2. 对于magic_quotes_gpc=off 的情况
必须使用addslashes()对输入数据进行处理,但并不需要使用stripslashes()格式化输出,因为addslashes()并未将反斜杠一起写入数据库,只是帮助mysql完成了sql语句的执行
转载请注明来源:php中get_magic_quotes_gpc()函数说明哈尔滨品用软件有限公司致力于为哈尔滨的中小企业制作大气、美观的优秀网站,并且能够搭建符合百度排名规范的网站基底,使您的网站无需额外费用,即可稳步提升排名至首页。欢迎体验最佳的哈尔滨网站建设。