问题标签 [magic-quotes]

我完全意识到 PHP 中的魔术引号的异常，它是多么邪恶，我像害虫一样避免它们，但是什么是magic_quotes_runtime？来自 php.ini：

运行时生成数据的魔术引号，例如来自 SQL、来自 exec() 等的数据。

是我应该检查是否打开和关闭的东西：

默认情况下经常打开吗？我知道它在 5.3.0 中已弃用并在 6.0.0 中删除，但由于我的脚本支持 5.1.0+，我想知道如何在“旧版”PHP 中处理这个问题（如果相关的话）。

编辑：为了清楚起见，我想退出（'Turn OFF Magic Quotes'）；当魔术报价开启时。我不依赖他们！

我被分配到我公司的一个遗留 web 应用程序中，经过一两天的源头搜索后，我发现了一个类似于以下内容的 SQL 注入向量：

我试图对此执行 SQL 注入测试，但由于 PHP 的magic_quotes_gpc模块被打开，它失败了。

我知道magic_quotes_gpc这很脏，但是我们有数百行（如果不是数千行）类似于上面的代码。我们根本无法magic_quotes_gpc关闭，因为这会使像这样的代码很容易受到攻击。

我想知道上面的代码有多“可利用”，以及我们是否应该立即修复它，或者将修复它的任务包含在我们的其他重构任务中。

如您所知，当魔术引号打开时，单引号会在值和键中进行转义。大多数在运行时删除 Magic Quotes 的解决方案只取消转义值，而不是键。我正在寻找一种可以使键和值不转义的解决方案...

我在 PHP.net 上发现了这段代码：

但我不喜欢“&”引用和数组，因为我过去遇到过这样的错误......

在运行时是否有一种“更好”的方法来取消魔术引号（键和值）而不是上面的方法？

我正在使用 PHP 向我的 MySQL 数据库提交一个表单。

我正在通过该mysql_real_escape_string($content)函数发送表单数据。

当条目出现在我的数据库中时（检查 phpMyAdmin），我所有的双引号和单引号都被转义了。

我相当确定这是一个 PHP 配置问题？

所以：

在我的数据库中显示为：

嗨，我的名字是 Jascha，我“最喜欢”的事情就是睡觉

我告诉谁该做什么？（我无法访问 php.ini）。

如果我magic_quotes打开并使用mysql_real_escape_string，字符串会被双重转义吗？会不会造成问题？

我假设是基于get_magic_quotes()功能但只是寻求确认。

（PS 提出这个问题比在我的办公室用我们所拥有的所有安全措施测试它更容易——我需要 10 到 15 分钟来配置所有东西以获得可用的环境）

所以基本上当我输入带有撇号的东西时，比如约翰的自行车，它会呼应约翰的自行车。下面的代码：

我的表单使用 POST 方法。有没有办法阻止这种情况？

还要使输入不区分大小写，我将如何在这个部分进行？

我有一个 html 表单，访问者可以在其中填写一些信息并将其作为电子邮件发送给我。它像这样发送：

当他们写abc'def我得到abc\'def

这是什么额外的\？我该如何预防？

有谁知道一个免费的网站或程序，它将接受一个字符串并用适当的转义字符引用它？

例如，假设我想引用

我想指定是用单引号还是双引号括起来。除了反斜杠之外，我个人不关心任何转义字符，但其他人的可能。

我有一个 PHP 脚本正在读取客户端提供的一些 JSON 数据。提供的 JSON 数据中有一个“智能报价”。

例子：

在我的脚本中，我使用一个小函数来获取 json 数据：

如果我对数据进行 utf8 编码，当我回显它时，我看不到引号应该在哪里。如果我不对数据进行 utf8 编码，当我将其回显时，我会看到有趣的问号符号。</p>

关于如何真正看到正确角色的任何想法？

谢谢！

我在我的 php.ini 中禁用了 magic_quotes。

但我仍然在我的表单中得到转义字符串。

注意：我在 Wordpress 的主题中运行它。