用PHP函數解決SQL injection 反斜線

什麼是魔術引號

當開啟時，所有的 '（單引號），"（雙引號），\（反斜線）和 NULL 字元都會被自動加上一個反斜線進行轉義。這和 addslashes() 作用完全相同。

一共有三個魔術引號指令：

magic_quotes_gpc 影響到 HTTP 要求資料（GET，POST 和 COOKIE）。不能在運行時改變。在 PHP 中預設值為 on。 參見 get_magic_quotes_gpc()。

magic_quotes_runtime 如果開啟的話，大部份從外部來源取得資料並返回的函數，包括從資料庫和文字檔，所返回的資料都會被反斜線轉義。該選項可在啟動並執行時改變，在 PHP 中的預設值為 off。 參見 set_magic_quotes_runtime() 和 get_magic_quotes_runtime()。

magic_quotes_sybase 如果開啟的話，將會使用單引號對單引號進行轉義而非反斜線。此選項會完全覆蓋 magic_quotes_gpc。如果同時開啟兩個選項的話，單引號將會被轉義成 ''。而雙引號、反斜線 和 NULL 字元將不會進行轉義。 如何取得其值參見 ini_get()。

addslashes — 使用反斜線引用字串

說明

string addslashes ( string $str )

返回字串，該字串為了資料庫查詢語句等的需要在某些字元前加上了反斜線。這些字元是單引號（'）、雙引號（"）、反斜線（\）與 NUL（NULL 字元）。

一個使用 addslashes() 的例子是當你要往資料庫中輸入資料時。例如，將名字 O'reilly 插入到資料庫中，這就需要對其進行轉義。大多資料庫使用 \ 作為轉義符：O\'reilly。這樣可以將資料放入資料庫中，而不會插入額外的 \。當 PHP 指令 magic_quotes_sybase 被設定成 on 時，意味著插入 ' 時將使用 ' 進行轉義。

預設情況下，PHP 指令 magic_quotes_gpc 為 on，它主要是對所有的 GET、POST 和 COOKIE 資料自動運行 addslashes()。不要對已經被 magic_quotes_gpc 轉義過的字串使用 addslashes()，因為這樣會導致雙層轉義。遇到這種情況時可以使用函數 get_magic_quotes_gpc() 進行檢測。

stripslashes

(PHP 4, PHP 5)

stripslashes — Un-quote string quoted with addslashes()

說明

string stripslashes ( string $str )

Un-quotes a quoted string.

Note: If magic_quotes_sybase is on, no backslashes are stripped off but two apostrophes are replaced by one instead.
SQL injection問題在ASP上可是鬧得沸沸揚揚?５比換褂脅簧俟?內外著名的PHP程式“遇難”。至於SQL injection的詳情，網上的文章太多了，在此就不作介紹。
如 果你網站空間的php.ini檔案裡的magic_quotes_gpc設成了off，那麼PHP就不會在敏感字元前加上反斜線（\），由於表單提交的內 容可能含有敏感字元，如單引號（'），就導致了SQL injection的漏洞。在這種情況下，我們可以用addslashes()來解決問題，它會自動在敏感字元前添加反斜線。
但是，上面的方法只 適用於magic_quotes_gpc=Off的情況。作為一個開發人員，你不知道每個使用者的magic_quotes_gpc是On還是Off，如果把 全部的資料都用上addslashes()，那不是“濫殺無辜”了？假如magic_quotes_gpc=On，並且又用了addslashes()函 數，那讓我們來看看：

<?php
//如果從表單提交一個變數$_POST['message']，內容為 Tom's book
//這此加入串連MySQL資料庫的代碼，自己寫吧
//在$_POST['message']的敏感字元前加上反斜線
$_POST['message'] = addslashes($_POST['message']);

//由於magic_quotes_gpc=On，所以又一次在敏感字元前加反斜線
$sql = "INSERT INTO msg_table VALUE('$_POST[message]');";

//發送請求，把內容儲存到資料庫內
$query = mysql_query($sql);

//如果你再從資料庫內提取這個記錄並輸出，就會看到 Tom\'s book
?>

這樣的話，在magic_quotes_gpc=On的環境裡，所有輸入的單引號（'）都會變成（\'）……
其 實我們可以用get_magic_quotes_gpc()函數輕易地解決這個問題。當magic_quotes_gpc=On時，該函數返回TRUE； 當magic_quotes_gpc=Off時，返回FALSE。至此，肯定已經有不少人意識到：問題已經解決。請看代碼：

<?php
//如果magic_quotes_gpc=Off，那就為提單提交的$_POST['message']裡的敏感字元加反斜線
//magic_quotes_gpc=On的情況下，則不加
if (!get_magic_quotes_gpc()) {
$_POST['message'] = addslashes($_POST['message']);
} else {}
?>

其實說到這裡，問題已經解決。下面再說一個小技巧。
有時表單提交的變數不止一個，可能有十幾個，幾十個。那麼一次一次地複製/粘帖addslashes()，是否麻煩了一點？由於從表單或URL擷取的資料都是以數組形式出現的，如$_POST、$_GET)?Ｄ薔妥遠ㄒ逡桓隹梢浴昂嶸ㄇЬ?”的函數：

<?php
function quotes($content)
{
//如果magic_quotes_gpc=Off，那麼就開始處理
if (!get_magic_quotes_gpc()) {
//判斷$content是否為數組
if (is_array($content)) {
//如果$content是數組，那麼就處理它的每一個單無
foreach ($content as $key=>$value) {
$content[$key] = addslashes($value);
}
} else {
//如果$content不是數組，那麼就僅處理一次
addslashes($content);
}
} else {
//如果magic_quotes_gpc=On，那麼就不處理
}
//返回$content
return $content;
}
?>

