我见过几十个这样的 PHP 片段:
function DB_Quote($string)
{
if (get_magic_quotes_gpc() == true)
{
$string = stripslashes($string);
}
return mysql_real_escape_string($string);
}
如果我打电话会DB_Quote("the (\\) character is cool");怎样?(感谢jspcal!)
难道我们不应该只在值来自get_magic_quotes_gpc() == true 或超全局时才去除斜线吗?$_GET$_POST$_COOKIE
第一步是完全关闭魔术引号并在打开时发出大量不可忽视的警告。
如果这不是您的选择,那么在我看来,最好的方法是始终删除所有魔术引号。
// in an include used on every page load:
if (get_magic_quotes_gpc()) {
foreach (array('_GET', '_POST', '_COOKIE', '_REQUEST') as $src) {
foreach ($$src as $key => $val) {
$$src[$key] = stripslashes($val);
}
}
}
对性能的影响很小,但从那时起在使用变量时会让您更加轻松。
是的,我也见过几十个这样的 PHP 片段。有点难过。
魔术引号是一个输入问题。它必须在输入阶段通过迭代 GET/POST/COOKIES 数组并删除斜杠来修复,如果您需要您的应用程序在使用magic_quotes_gpc. 简单的替代方法是检测魔术引号选项,并在设置时出现“您的服务器糟透了”错误。
mysql_real_escape_string是输出问题。如果您不使用参数化查询(您绝对应该考虑),它需要在脚本退出时运行,在内容标题到数据库时运行。
这是程序中两个独立的不相关阶段。您不能将它们放在同一个函数中,尽管尝试将所有字符串处理封装到一个盒子中可能很诱人。
难道我们不应该只在 [...] 值来自 $_GET、$_POST 或 $_COOKIE 超全局变量时才去除斜杠吗?
对,就是这样。这就是为什么您引用的片段确实有害的原因。因为跟踪字符串的来源是不切实际的(尤其是当您可能将来自不同来源的字符串组合在一起时,其中一个是斜线而另一个不是),您不能在一个函数中做到这一点。它必须是在适当的时候调用的两个单独的字符串处理函数。
是的,正如dav所说,直到脚本只在表单输入上使用stripslashes ...
如果你用字符串“O'Reilly”调用stripslashes,字符串不会改变。如果您使用类似以下字符串的字符串调用 stripslashes:“反斜杠 (\) 字符很酷”,则结果会将转义序列 \) 替换为 )。因此,在所有 db 值上使用该函数可能会巧妙地破坏事物,但可能不会被注意到。
像许多应用程序一样,您也可以不支持魔术引号模式。检查它并在它打开时打印错误。它已默认关闭多年,不推荐使用。
您可以尝试在 $_GET、$_POST 或 $_COOKIE 上执行以下操作,然后再对它们执行任何其他操作:
<?php
if (get_magic_quotes_gpc ())
{
$_POST = array_map ('stripslashes', $_POST);
}
?>
请注意,这仅在您的输入数组是“平面”(不包含子数组)时才有效。如果您希望输入中有子数组,那么您需要编写自己的回调来处理它。就像是
<?php
function slashField ($input)
{
if (is_array ($input))
{
foreach ($input as $key => $row)
{
$input [$key] = slashField ($row);
}
}
else
{
$input = stripslashes ($input);
}
return ($input);
}
if (get_magic_quotes_gpc ())
{
$_POST = array_map ('slashfield', $_POST);
}
?>
数字 6 是正确的想法但不起作用,因为直到 PHP 5.4 $$src[$key] 在 $src[$key] 上使用变量变量语法,它被解释为 $src[0],创建了一个变量 $_没用。只需在 $val 和 $val = stripslashes($val) 上使用 &(引用运算符)。此外,否则从 PHP 5.4 开始,您可能会收到错误,因为 PHP 不会将 _ 强制转换为 0