/**
 * Add slashes to a string or array of strings.
 *
 * This should be used when preparing data for core API that expects slashed data.
 * This should not be used to escape data going directly into an SQL query.
 *
 * @since 3.6.0
 *
 * @param string|array $value String or array of strings to slash.
 * @return string|array Slashed $value
 */
function wp_slash( $value ) {
    if ( is_array( $value ) ) {
        foreach ( $value as $k => $v ) {
            if ( is_array( $v ) ) {
                $value[$k] = wp_slash( $v );
            } else {
                $value[$k] = addslashes( $v );
            }
        }
    } else {
        $value = addslashes( $value );
    }
 
    return $value;
}

先說明1個(gè)PHP內(nèi)置函數(shù)：get_magic_quotes_gpc()

這個(gè)函數(shù)的作用就是得到php.ini設(shè)置中magic_quotes_gpc選項(xiàng)的值。
而magic_quotes_gpc選項(xiàng)如果值為On，PHP解析器就會(huì)自動(dòng)為post、get、cookie過來的數(shù)據(jù)增加轉(zhuǎn)義字符“\”，以確保這些數(shù)據(jù)不會(huì)引起程序，特別是數(shù)據(jù)庫語句因?yàn)樘厥庾址鸬闹旅腻e(cuò)誤。

開啟時(shí),單引號（'）、雙引號（”）、反斜線（\）與 NUL（NULL 字符）等字符都會(huì)被加上反斜線,否則需要手動(dòng)處理，就用到了addslashes()
magic_quotes_gpc值為On時(shí)返回1，否則返回0
addslashes() 函數(shù)在指定的預(yù)定義字符前添加反斜杠。也就是上面列出的字符

但在PHP5.4以上取消了get_magic_quotes_gpc()內(nèi)置函數(shù)，為了避免以后出錯(cuò)，所以這樣過濾所有輸入：

if(!function_exists(get_magic_quotes_gpc) || !get_magic_quotes_gpc() )) { 
  foreach(array('_COOKIE', '_POST', '_GET') as $v) { 
    foreach($$v as $kk => $vv) { 
      $kk{0} != '_' && $$v[$kk] = addslashes($vv); 
    } 
  } 
} 

在處理mysql和GET、POST的數(shù)據(jù)時(shí)，常常要對數(shù)據(jù)的引號進(jìn)行轉(zhuǎn)義操作。
PHP中有三個(gè)設(shè)置可以實(shí)現(xiàn)自動(dòng)對'（單引號），”（雙引號），\（反斜線）和 NULL 字符轉(zhuǎn)轉(zhuǎn)。
PHP稱之為魔術(shù)引號，這三項(xiàng)設(shè)置分別是

magic_quotes_gpc

影響到 HTTP 請求數(shù)據(jù)（GET，POST 和 COOKIE）。不能在運(yùn)行時(shí)改變。在 PHP 中默認(rèn)值為 on。

這個(gè)開啟時(shí)，通過GET,POST,COOKIE傳遞的數(shù)據(jù)會(huì)自動(dòng)被轉(zhuǎn)義。

如 test.php?id=abc'de"f
echo $_GET['id'];    #  會(huì)得到 abc\'de\"f
magic_quotes_gpc=On; 這個(gè)開啟了，對寫入數(shù)據(jù)庫是沒有影響的，比如 上面的$_GET['id']  寫到數(shù)據(jù)庫里面，依然是 abc'de"f ,

相反，如果magic_quotes_gpc=Off; 那么字符中要帶有引號（不管單引號還是雙引號) ，直接寫入mysql都會(huì)直接變成空白
但是，如果你將它寫入文檔，而非mysql。那么它將是 abc\'de\"f

magic_quotes_runtime

如果打開的話，大部份從外部來源取得數(shù)據(jù)并返回的函數(shù)，包括從數(shù)據(jù)庫和文本文件，所返回的數(shù)據(jù)都會(huì)被反斜線轉(zhuǎn)義。該選項(xiàng)可在運(yùn)行的時(shí)改變，在 PHP 中的默認(rèn)值為 off。

magic_quotes_sybase

如果打開的話，將會(huì)使用單引號對單引號進(jìn)行轉(zhuǎn)義而非反斜線。此選項(xiàng)會(huì)完全覆蓋 magic_quotes_gpc。如果同時(shí)打開兩個(gè)選項(xiàng)的話，單引號將會(huì)被轉(zhuǎn)義成 ”。而雙引號、反斜線 和 NULL 字符將不會(huì)進(jìn)行轉(zhuǎn)義。

我表單內(nèi)容本來是：<img alt=”" width=”400″ height=”300″ src=”/Upfiles/201105/images/1306657040.jpg” />

<img alt=\”\” width=\”400\” height=\”300\” src=\”/Upfiles/201105/images/1306657040.jpg\” />

對策一：修改php.ini文件（修改php.ini這個(gè)方法就不說了，大家可以google下）

對策二：把轉(zhuǎn)義的給取消了

第一步：找到你提交的數(shù)據(jù)比如$_POST['content']，將其改成$content=stripslashes($_POST['content']);

第二步：以后在使用$POST['content']的地方都換成$content

第三步：提交到數(shù)據(jù)庫，數(shù)據(jù)庫儲(chǔ)存還是正常的：<img alt=”" width=”400″ height=”300″ src=”/Upfiles/201105/images/1306657040.jpg” />讀出來又成了

<img alt=\”\” width=\”400\” height=\”300\” src=\”/Upfiles/201105/images/1306657040.jpg\” />（這個(gè)應(yīng)該知道怎么解決了吧？要不我再羅嗦下吧）

 第四步：將數(shù)據(jù)庫讀取的內(nèi)容再用stripslashes()過濾一下。

 stripslashes()  這個(gè)函數(shù) ，刪除由addslashes()函數(shù)添加的反斜杠。用于清理從數(shù)據(jù)庫或 HTML 表單中取回的數(shù)據(jù)

（

PHP頁面中如果不希望出現(xiàn)以下情況:
單引號被轉(zhuǎn)義為 \'
雙引號被轉(zhuǎn)義為 \"
那么可以進(jìn)行如下設(shè)置以防止:
在php.ini中設(shè)置:magic_quotes_gpc = Off）

總結(jié)如下：

1. 對于magic_quotes_gpc=on的情況，

我們可以不對輸入和輸出數(shù)據(jù)庫的字符串?dāng)?shù)據(jù)作
addslashes()和stripslashes()的操作,數(shù)據(jù)也會(huì)正常顯示。

如果此時(shí)你對輸入的數(shù)據(jù)作了addslashes()處理，
那么在輸出的時(shí)候就必須使用stripslashes()去掉多余的反斜杠。

2. 對于magic_quotes_gpc=off 的情況

必須使用addslashes()對輸入數(shù)據(jù)進(jìn)行處理，但并不需要使用stripslashes()格式化輸出
因?yàn)閍ddslashes()并未將反斜杠一起寫入數(shù)據(jù)庫，只是幫助mysql完成了sql語句的執(zhí)行。

最新評論