PHP 魔术引号(Magic Quotes)以及 WordPress 的处理方式

魔术引号(Magic Quotes)

魔术引号(Magic Quotes)是一个自动将进入 PHP 脚本的数据进行转义的过程。最好在编码时不要转义而在运行时根据需要而转义。

当魔术引号打开时,所有的 ‘(单引号),”(双引号),\(反斜线)和 NULL 字符都会被自动加上一个反斜线进行转义。这和 addslashes() 作用完全相同。PHP 一共有三个魔术引号指令:

  • magic_quotes_gpc 影响到 HTTP 请求数据($_GET、$_POST、$_COOKIE),不能在运行时改变。在 PHP 中默认值为 on。 参见 get_magic_quotes_gpc()
  • magic_quotes_runtime 如果打开的话,大部份从外部来源取得数据并返回的函数,包括从数据库和文本文件,所返回的数据都会被反斜线转义。该选项可在运行的时改变,在PHP 中的默认值为 off。 参见 set_magic_quotes_runtime()get_magic_quotes_runtime()
  • magic_quotes_sybase 如果打开的话,将会使用单引号对单引号进行转义而非反斜线,此选项会完全覆盖 magic_quotes_gpc。如果同时打开两个选项的话,单引号将会被转义成 ”。而双引号、反斜线 和 NULL 字符将不会进行转义。 如何取得其值参见 ini_get()

魔术引号存在的问题

魔术引号是为了阻止SQL 注入,这样可以帮助新手在不知不觉中写出了更好(更安全)的代码,但是在处理代码的时候,最好是更改你的代码而不是依赖于魔术引号的开启,现在开发者能够更好得意识到了安全问题,并最终使用数据库转义机制或者 prepared 语句来取代魔术引号功能。

  • 魔术引号打开或并闭都会影响到可移植性,可以用 get_magic_quotes_gpc() 来检查是否打开,并据此编程。
  • 由于并不是每一段被转义的数据都要插入数据库的,如果所有进入 PHP 的数据都被转义的话,那么会对程序的执行效率产生一定的影响。在运行时调用转义函数(如 addslashes())更有效率。
  • 由于不是所有数据都需要转义,在不需要转义的地方看到转义的数据就很烦。比如说通过表单发送邮件,结果看到一大堆的 \’。针对这个问题,可以使用 stripslashes() 函数处理。

WordPress 怎么处理魔术引号

1. 首先在运行时关闭 magic_quotes_runtime 和 magic_quotes_sybase:


@ini_set( 'magic_quotes_runtime', 0 );
@ini_set( 'magic_quotes_sybase',  0 );

2. 然后调用函数 wp_magic_quotes() 强制给 $_GET、$_POST、$_COOKIE 和 $_SERVER 加上魔术引号。


function wp_magic_quotes() {
	// 如果已经转义了,就先去掉
	if ( get_magic_quotes_gpc() ) {
		$_GET    = stripslashes_deep( $_GET    );
		$_POST   = stripslashes_deep( $_POST   );
		$_COOKIE = stripslashes_deep( $_COOKIE );
	}

	// 使用 wpdb 进行转义
	$_GET    = add_magic_quotes( $_GET    );
	$_POST   = add_magic_quotes( $_POST   );
	$_COOKIE = add_magic_quotes( $_COOKIE );
	$_SERVER = add_magic_quotes( $_SERVER );

	// Force REQUEST to be GET + POST.
	$_REQUEST = array_merge( $_GET, $_POST );
}

热门文章