php get_magic_quotes_gpc()函數用法介紹

在magic_quotes_gpc=On的情況下，如果輸入的資料有

單引號（’）、雙引號（”）、反斜線（）與 NUL（NULL 字元）等字元都會被加上反斜線。這些轉義是必須的，如果這個選項為off，那麼我們就必須調用addslashes這個函數來為字串增加轉義。

正是因為這個選項必須為On，但是又讓使用者進行配置的矛盾，在PHP6中刪除了這個選項，一切的編程都需要在magic_quotes_gpc=Off下進行了。在這樣的環境下如果不對使用者的資料進行轉義，後果不僅僅是程式錯誤而已了。同樣的會引起資料庫被注入攻擊的危險。所以從現在開始大家都不要再依賴這個設定為On了，以免有一天你的伺服器需要更新到PHP6而導致你的程式不能正常工作。

代碼如下	複製代碼
當magic_quotes_gpc=On的時候，函數get_magic_quotes_gpc()就會返回1 當magic_quotes_gpc=Off的時候，函數get_magic_quotes_gpc()就會返回0

因此可以看出這個get_magic_quotes_gpc()函數的作用就是得到環境變數magic_quotes_gpc的值。既然在PHP6中刪除了magic_quotes_gpc這個選項，那麼在PHP6中這個函數我想也已經不複存在了。

php 判斷是否開啟get_magic_quotes_gpc功能了，以方便我們是否決定使用addslashes這個函數了。

代碼如下	複製代碼
function SQLString($c, $t){  $c=(!get_magic_quotes_gpc())?addslashes($c):$c;  switch($t){   case 'text':    $c=($c!='')?"'".$c."'":'NULL';    break;   case 'search':    $c="'%%".$c."%%'";    break;   case 'int':    $c=($c!='')?intval($c):'0';    break;  }  return $c; }

預防資料庫攻擊的正確做法

代碼如下

複製代碼

<?php function check_input($value) { // 去除斜杠 if (get_magic_quotes_gpc()) { $value = stripslashes($value); } // 如果不是數字則加引號 if (!is_numeric($value)) { $value = “‘” . mysql_real_escape_string($value) . “‘”; } return $value; } $con = mysql_connect(“localhost”, “hello”, “321″); if (!$con) { die(‘Could not connect: ‘ . mysql_error()); } // 進行安全的 SQL $user = check_input($_POST['user']); $pwd = check_input($_POST['pwd']); $sql = “SELECT * FROM users WHERE user=$user AND password=$pwd”; mysql_query($sql); mysql_close($con); ?>