用PHP函數解決SQL injection 反斜杠

什麼是魔術引號

當打開時，所有的 '（單引號），"（雙引號），（反斜線）和 NULL 字符都會被自動加上一個反斜線進行轉義。這和 addslashes( ) 作用完全相同。

magic_quotes_runtime 如果開啟的話，大部份從外部來源取得資料並傳回的函數，包括從資料庫和文字文件，所傳回的資料都會被反斜線轉義。中的預設值為 off。兩個選項的話，單引號將會被轉義成 ''。反斜線引用字串

說明

string addslashes ( string $str )

回傳字串，該字串為了資料庫查詢語句等的需求在某些字元前加上了反斜線。引號（'）、雙引號（"）、反斜線（）與NUL（NULL 字元）。

一個使用 addslashes() 的範例是當你要在資料庫中輸入資料時。例如，將名字 O'reilly 插入資料庫中，這就需要對其進行轉義。大多資料庫使用  作為轉義符：O'reilly。這樣可以將資料放入資料庫中，而不會插入額外的 。當 PHP 指令 magic_quotes_sybase 被設定為 on 時，表示插入 ' 時將使用 ' 轉義。

預設情況下，PHP 指令 magic_quotes_gpc 為 on，它主要是對所有的 GET、POST 和 COOKIE 資料自動執行 addslashes()。不要對已經被 magic_quotes_gpc 轉義過的字串使用 addslashes()，因為這樣會導致雙層轉義。遇到這種情況時可以使用函數 get_magic_quotes_gpc() 進行偵測。

stripslashes

(PHP 4, PHP 5)

stripslashes — Un-quote string quoted with addslashes()

ing.

Note: If magic_quotes_sybase is on, no backslashes are stripped off but two apostrophes are replaced by one instead. 

SQL injection問題在ASP上可是鬧得沸沸揚揚?５比換褂簧難搞」。至於SQL injection的詳情，網路上的文章太多了，在此就不作介紹。

如果你網站空間的php.ini文件裡的magic_quotes_gpc設為了off，那麼PHP就不會在敏感字符前加上反斜杠（），由於表單提交的內容可能含有敏感字符，如單引號（' ），就導致了SQL injection的漏洞。在這種情況下，我們可以用addslashes()來解決問題，它會自動在敏感字元前面加上反斜線。

但是，上面的方法只 適用於magic_quotes_gpc=Off的情況。身為開發者，你不知道每個使用者的magic_quotes_gpc是On還是Off，如果把 全部的資料都用上addslashes()，那不是「濫殺無辜」了？假如magic_quotes_gpc=On，並且又用了addslashes()函數，那讓我們來看看：

//如果從表單提交一個變數$_POST['message']，內容為Tom's book

//這此加入連接MySQL資料庫的程式碼，自己寫吧

//在$_POST['message']的敏感字元前加上反斜線

$_POST['message'] = addslashes($_POST['message'] );

//由於magic_quotes_gpc=On，所以又一次在敏感字元前面加上反斜線

$sql = "INSERT INTO msg_table VALUE('$_POST[message]');";

//發送請求，把內容儲存到資料庫內

$query = mysql_query($sql);

//如果你再從資料庫內提取這個記錄並輸出，就會看到Tom's book
?>

這樣的話，在magic_quotes_gpc=On的環境裡，所有輸入的單引號（'）都會變成（'）…
其實我們可以用get_magic_quotes_gpc()函數輕易地解決這個問題。當magic_quotes_gpc=On時，函數傳回TRUE；當magic_quotes_gpc=Off時，傳回FALSE。至此，肯定已經有不少人意識到：問題已經解決。請看代碼：

//如果magic_quotes_gpc=Off，那就為提單提交的$_POST['message']裡的敏感字元加反斜線
//magic_quotes_gpc=On的情況下，則不加
if (! get_magic_quotes_gpc()) {
$_POST['message'] = addslashes($_POST['message']);
} else {}
?>

其實說到這裡，問題已經解決。下面再說一個小技巧。
有時表單提交的變數不只一個，可能有十幾個，幾十個。那麼一次一次地複製/貼上貼文addslashes()，是否麻煩了一點？由於從表單或URL取得的資料都是以陣列形式出現的，如$_POST、$_GET)?Ｄ薔妥遠ㄒ逡桓隹梢浴昂嶸ㄇЬ?」的函數：

function quotes($content)
{
//如果magic_quotes_gpc=Off，那麼就開始處理
if (!get_magic_quotes_gpc()) {
//判斷$content是否為數組
if (is_array($content)) {
//如果$content是數組，那就處理它的每一個單無
foreach ($content as $key=>$value) {
$content[$key] = addslashes($value);
}
} else {
//如果$content不是數組，那就只處理一次
addslashes($content);
}
} else {
//如果magic_quotes_gpc=On，那就不處理
}
//返回$content
return $content ;
}
?>