先來個函數,是最近WordPress 3.6中剛剛引入的
/**
* Add slashes to a string or array of strings.
*
* This should be used when preparing data for core API that expects slashed data.
* This should not be used to escape data going directly into an SQL query.
*
* @since 3.6.0
*
* @param string|array $value String or array of strings to slash.
* @return string|array Slashed $value
*/
function wp_slash( $value ) {
if ( is_array( $value ) ) {
foreach ( $value as $k => $v ) {
if ( is_array( $v ) ) {
$value[$k] = wp_slash( $v );
} else {
$value[$k] = addslashes( $v );
}
}
} else {
$value = addslashes( $value );
}
return $value;
}
先說明1個PHP內置函數:get_magic_quotes_gpc()
這個函數的作用就是得到php.ini設置中magic_quotes_gpc選項的值���。
而magic_quotes_gpc選項如果值為On�����,PHP解析器就會自動為post、get、cookie過來的數據增加轉義字符“/”�����,以確保這些數據不會引起程序����,特別是數據庫語句因為特殊字符引起的致命的錯誤。
開啟時,單引號(')、雙引號(”)、反斜線(/)與 NUL(NULL 字符)等字符都會被加上反斜線,否則需要手動處理�,就用到了addslashes()
magic_quotes_gpc值為On時返回1���,否則返回0
addslashes() 函數在指定的預定義字符前添加反斜杠����。也就是上面列出的字符
但在PHP5.4以上取消了get_magic_quotes_gpc()內置函數�����,為了避免以后出錯���,所以這樣過濾所有輸入:
if(!function_exists(get_magic_quotes_gpc) || !get_magic_quotes_gpc() )) {
foreach(array('_COOKIE', '_POST', '_GET') as $v) {
foreach($$v as $kk => $vv) {
$kk{0} != '_' && $$v[$kk] = addslashes($vv);
}
}
}
在處理mysql和GET��、POST的數據時,常常要對數據的引號進行轉義操作。
PHP中有三個設置可以實現自動對'(單引號)���,”(雙引號),/(反斜線)和 NULL 字符轉轉。
PHP稱之為魔術引號�,這三項設置分別是
magic_quotes_gpc
影響到 HTTP 請求數據(GET���,POST 和 COOKIE)���。不能在運行時改變���。在 PHP 中默認值為 on����。
這個開啟時,通過GET,POST,COOKIE傳遞的數據會自動被轉義。
如 test.php?id=abc'de"f
echo $_GET['id']; # 會得到 abc/'de/"f
magic_quotes_gpc=On; 這個開啟了�����,對寫入數據庫是沒有影響的��,比如 上面的$_GET['id'] 寫到數據庫里面����,依然是 abc'de"f ,
相反��,如果magic_quotes_gpc=Off; 那么字符中要帶有引號(不管單引號還是雙引號) ����,直接寫入mysql都會直接變成空白
但是�����,如果你將它寫入文檔,而非mysql����。那么它將是 abc/'de/"f
magic_quotes_runtime
如果打開的話����,大部份從外部來源取得數據并返回的函數�,包括從數據庫和文本文件,所返回的數據都會被反斜線轉義�。該選項可在運行的時改變����,在 PHP 中的默認值為 off�。
magic_quotes_sybase
如果打開的話,將會使用單引號對單引號進行轉義而非反斜線��。此選項會完全覆蓋 magic_quotes_gpc�����。如果同時打開兩個選項的話��,單引號將會被轉義成 ”。而雙引號�����、反斜線 和 NULL 字符將不會進行轉義�。
我表單內容本來是:<img alt=”" width=”400″ height=”300″ src=”/Upfiles/201105/images/1306657040.jpg” />
<img alt=/”/” width=/”400/” height=/”300/” src=/”/Upfiles/201105/images/1306657040.jpg/” />
對策一:修改php.ini文件(修改php.ini這個方法就不說了,大家可以google下)
對策二:把轉義的給取消了
第一步:找到你提交的數據比如$_POST['content']�����,將其改成$content=stripslashes($_POST['content']);
第二步:以后在使用$POST['content']的地方都換成$content
第三步:提交到數據庫����,數據庫儲存還是正常的:<img alt=”" width=”400″ height=”300″ src=”/Upfiles/201105/images/1306657040.jpg” />讀出來又成了
<img alt=/”/” width=/”400/” height=/”300/” src=/”/Upfiles/201105/images/1306657040.jpg/” />(這個應該知道怎么解決了吧���?要不我再羅嗦下吧)
第四步:將數據庫讀取的內容再用stripslashes()過濾一下���。
stripslashes() 這個函數 ,刪除由addslashes()函數添加的反斜杠��。用于清理從數據庫或 HTML 表單中取回的數據
(
PHP頁面中如果不希望出現以下情況:
單引號被轉義為 /'
雙引號被轉義為 /"
那么可以進行如下設置以防止:
在php.ini中設置:magic_quotes_gpc = Off)
總結如下:
1. 對于magic_quotes_gpc=on的情況��,
我們可以不對輸入和輸出數據庫的字符串數據作
addslashes()和stripslashes()的操作,數據也會正常顯示��。
如果此時你對輸入的數據作了addslashes()處理,
那么在輸出的時候就必須使用stripslashes()去掉多余的反斜杠�����。
2. 對于magic_quotes_gpc=off 的情況
必須使用addslashes()對輸入數據進行處理�,但并不需要使用stripslashes()格式化輸出
因為addslashes()并未將反斜杠一起寫入數據庫,只是幫助mysql完成了sql語句的執行���。
