9

我正在从教程中学习这个 PHP 代码来上传文件

<form method="post" enctype="multipart/form-data">
  <input name="userfile" type="file" id="userfile">  
</form>

<?php
  if (isset($_POST['upload']) && $_FILES['userfile']['size'] > 0) {
    $fileName = $_FILES['userfile']['name'];
    $tmpName  = $_FILES['userfile']['tmp_name'];
    $fileSize = $_FILES['userfile']['size'];
    $fileType = $_FILES['userfile']['type'];

    $fp      = fopen($tmpName, 'r');
    $content = fread($fp, filesize($tmpName));
    $content = addslashes($content);
    fclose($fp);

   if (!get_magic_quotes_gpc()) {
     $fileName = addslashes($fileName);
   }

   include 'library/config.php';
   include 'library/opendb.php';

   $query = "INSERT INTO upload (name, size, type, content ) ".
     "VALUES ('$fileName', '$fileSize', '$fileType', '$content')";

   mysql_query($query) or die('Error, query failed');
   include 'library/closedb.php';

现在我通过使用 php 文档了解每个功能和一切

除了

get_magic_quotes_gpc()
  • 它是什么?它能做什么?
  • 是必不可少的吗?如果是,是否有替代品?
  • PHP 手册说“从 PHP 5.3.0 开始,此功能已被弃用。强烈建议不要依赖此功能。”。请详细说明?
  • 没有办法将文件上传到(网络)服务器硬盘并提供指向它们的链接..
4

2 回答 2

28

get_magic_quotes_gpc() 是一个检查配置 (php.ini) 的函数,如果 magic_quotes_gpc 关闭则返回 0(否则返回 1)。

当 magic_quotes 打开时,所有的 '(单引号)、"(双引号)、\(反斜杠)和 NUL 都会自动用反斜杠转义。这是为了防止各种注入安全问题。

在您的情况下,代码检查设置是否关闭并添加斜杠以正确转义内容以防止 SQL 注入。

就像你说的——这个特性已经被弃用了,将来肯定会被删除(事实上他们在 PHP6 中删除了它)。

另一种方法是根据需要在运行时转义数据

于 2010-08-18T01:09:36.097 回答
0

在阅读了您的帖子以及所有答案和评论后,我认为此功能可能会有所帮助,

function mysql_prep( $value ) {
    $magic_quotes_active = get_magic_quotes_gpc();
    $new_enough_php = function_exists( "mysql_real_escape_string" ); // i.e. PHP >= v4.3.0
    if( $new_enough_php ) { // PHP v4.3.0 or higher
        // undo any magic quote effects so mysql_real_escape_string can do the work
        if( $magic_quotes_active ) { $value = stripslashes( $value ); }
        $value = mysql_real_escape_string( $value );
    } else { // before PHP v4.3.0
        // if magic quotes aren't already on then add slashes manually
        if( !$magic_quotes_active ) { $value = addslashes( $value ); }
        // if magic quotes are active, then the slashes already exist
    }
    return $value;
}
于 2016-10-16T07:54:14.147 回答