php實作處理輸入轉義字元的程式碼

這篇文章主要介紹了php實作處理輸入轉義字元的程式碼,需要的朋友可以參考下

先來個函數，是最近WordPress 3.6中剛剛引入的

/**
 * Add slashes to a string or array of strings.
 *
 * This should be used when preparing data for core API that expects slashed data.
 * This should not be used to escape data going directly into an SQL query.
 *
 * @since 3.6.0
 *
 * @param string|array $value String or array of strings to slash.
 * @return string|array Slashed $value
 */
function wp_slash( $value ) {
    if ( is_array( $value ) ) {
        foreach ( $value as $k => $v ) {
            if ( is_array( $v ) ) {
                $value[$k] = wp_slash( $v );
            } else {
                $value[$k] = addslashes( $v );
            }
        }
    } else {
        $value = addslashes( $value );
    }
 
    return $value;
}

先說明1個PHP內建函數：get_magic_quotes_gpc()

這個函數的作用就是要得到php.ini設定中magic_quotes_gpc選項的值。
而magic_quotes_gpc選項如果值為On，PHP解析器就會自動為post、get、cookie過來的資料增加轉義字符“\”，以確保這些資料不會引起程序，特別是資料庫語句因為特殊字符引起的致命的錯誤。

開啟時,單引號（'）、雙引號（」）、反斜線（\）與NUL（NULL 字元）等字元都會被加上反斜線,否則需要手動處理，就用到了addslashes()
magic_quotes_gpc值為On時返回1，否則返回0
addslashes() 函數在指定的預定義字元前面加上反斜線。也就是上面列出的字元

但在PHP5.4以上取消了get_magic_quotes_gpc()內建函數，為了避免以後出錯，所以這樣過濾所有輸入：

if(!function_exists(get_magic_quotes_gpc) || !get_magic_quotes_gpc() )) { 
  foreach(array('_COOKIE', '_POST', '_GET') as $v) { 
    foreach($$v as $kk => $vv) { 
      $kk{0} != '_' && $$v[$kk] = addslashes($vv); 
    } 
  } 
}

在處理mysql和GET、POST的資料時，常常要對資料的引號進行轉義運算。
PHP中有三個設定可以實現自動對'（單引號），」（雙引號），\（反斜線）和NULL 字元轉轉。
PHP稱之為魔術引號，這三個設定分別是

magic_quotes_gpc

影響到HTTP 請求資料（GET，POST和COOKIE）。不能在運行時改變。在 PHP 中預設值為 on。

這個開啟時，透過GET,POST,COOKIE傳遞的資料會自動被轉義。

如test.php?id=abc'de"f
echo $_GET['id'];    #  會得到abc\'de\"f
#magic_quotes_gpc=On; 這個開啟了，對寫入資料庫裡面，依然是abc'de"f ,

相反，如果magic_quotes_gpc=Off; 那麼字元中要帶有引號（不管單引號還是雙引號) ，直接寫入mysql都會直接變成空白
但是，如果你將它寫入文檔，而非mysql。那麼它將是abc\'de\"f

magic_quotes_runtime

如果打開的話，大部份從外部來源取得資料並傳回的函數，包括從資料庫和文字文件，所傳回的資料都會被反斜線轉義。此選項可在運行的時改變，在 PHP 中的預設值為 off。

magic_quotes_sybase

如果開啟的話，將會使用單引號對單引號進行轉義而非反斜線。此選項會完全覆蓋 magic_quotes_gpc。如果同時打開兩個選項的話，單引號將會被轉義成」。而雙引號、反斜線和NULL 字元將不會進行轉義。

我表單內容本來是：36320c6a1d8864566e7b899436dc8ab0

a5b65620295471a5595efe0b87fd1b80

對策一：修改php.ini檔（修改php.ini這個方法就不說了，大家可以google下）

對策二：把轉義的給取消了

第一步：找到你提交的資料例如$_POST['content']，將其改為$content=stripslashes($_POST['content']);

第二步：以後使用$POST['content']的地方都換成$content

#第三步：提交到資料庫，資料庫儲存還是正常的：36320c6a1d8864566e7b899436dc8ab0讀取出來又變成了41378d9504cef989cc9694981bf95ba2（這個應該知道怎麼解決了吧？要不我再囉嗦下吧）

 第四步：將資料庫讀取的內容再用stripslashes()過濾一下。

stripslashes()  這個函數，刪除addslashes()函數新增的反斜線。用於清理從資料庫或HTML 表單中取回的資料

（

PHP頁面中如果不希望出現以下情況: 單引號被轉義為\' 雙引號被轉義為\"

那麼可以進行如下設定以防止: ###在php.ini中設定:magic_quotes_gpc = Off )######總結如下：#########1. 對於magic_quotes_gpc=on的情況###，######我們可以不對輸入和輸出資料庫的字串資料作# ##addslashes()和stripslashes()的操作,資料也會正常顯示。 ######如果此時你對輸入的資料作了addslashes()處理，###那麼在輸出的時候就必須使用stripslashes()去掉多餘的反斜線。 #########2. 對於magic_quotes_gpc=off 的情況#######

必須使用addslashes()對輸入資料進行處理，但並不需要使用stripslashes()格式化輸出
因為addslashes()並未將反斜線一起寫入資料庫，只是幫助mysql完成了sql語句的執行。

相關推薦：

PHP在引號前面加上反斜線(PHP移除反斜線)

以上是php實作處理輸入轉義字元的程式碼的詳細內容。更多資訊請關注PHP中文網其他相關文章！