什么是PHP魔术引号】的更多相关文章

PHP 魔术引号

1.魔术引号的作用是什么? ​ 魔术引号设计的初衷是为了让从数据库或文件中读取数据和从请求中接收参数时,对单引号.双引号.反斜线.NULL加上一个一个反斜线进行转义,这个的作用跟addslashes()的作用完全相同. 2.转义的作用? ​ 正确地接收和读取数据,从而正确地执行SQL语句.比如从前台接收一个参数,假定为$para,后台接收到参数后要执行一条查询的SQL语句,拼接sql语句时,把参数传进入,类似于 "SELECT * FROMTABLEWHEREFIELD1= $para ANDF…

什么是PHP魔术引号

今天在读EcShop的源码中发现里面有几个地方涉及到了PHP魔术引号,之前也碰到过都忽略过去了,再次碰到该深入的理解,虽然自PHP 5.3.0 起魔术引号被废弃废弃并将自 PHP 5.4.0 起移除,但是了解魔术引号以后,在阅读一些PHP 5.3.0之前源码碰到了魔术引号阅读起来也很顺畅. 什么是魔术引号: 魔术引号是程序自动将进入PHP脚本的数据进行转意的过程.当打开时,所有的 '(单引号),"(双引号),\(反斜线)和 NULL 字符都会被自动加上一个反斜线进行转义.和 addslashes…

PHP之魔术引号

什么是魔术引号 Warning 本特性已自 PHP5.3.0起废弃并将自PHP5.4.0起移除. 当打开,所有的'(单引号),"(双引号),  (反斜线)和NULL 字符都会被自动加上一个反斜线进行转义. 这和addslashes()作用完全相同. 一共有三个魔术引号指令: ①.magic_quotes_gpc影响到HTTP请求数据(GET,POST和COOKIE).不能在运行时改变. 在PHP中默认值为on.参见get_magic_quotes_gpc(). ②.magic_quotes_ru…

WEB安全 魔术引号及注入类型

一.魔术引号 1. magic_quotes_gpc 变量 什么是魔术引号 Warning本特性已自 PHP 5.3.0 起废弃并将自 PHP 5.4.0 起移除.当打开时,所有的 '(单引号),"(双引号),\(反斜线)和 NULL 字符都会被自动加上一个反斜线进行转义.这和 addslashes() 作用完全相同. 一共有三个魔术引号指令: magic_quotes_gpc 影响到 HTTP 请求数据(GET,POST 和 COOKIE).不能在运行时改变.在 PHP 中默认值为 on. 参…

char函数绕过魔术引号注入

我目前学习到的绕过魔术引号的几种方法(如果知道还有别的请万望告之): 1.倘若服务端是GBK可以尝试宽字节注入 2.使用char函数绕过魔术引号进行注入 3.同char函数类似的函数,例如bin(转换为2进制),或者oct(转换为8进制) 本篇就是介绍char函数来进行绕过魔术引号来注入. 以下CODE是一个源码案例: <?php $link = mysqli_connect('localhost', 'root', 'root'); mysqli_select_db($link, 'code'…

magic_quotes_gpc(魔术引号开关)

magic_quotes_gpc函数在php中的作用是判断解析用户提示的数据,如包括有:post.get.cookie过来的数据增加转义字符“\”,以确保这些数据不会引起程序,特别是数据库语句因为特殊字符引起的污染而出现致命的错误. 在magic_quotes_gpc = On的情况下,如果输入的数据有 单引号(’).双引号(”).反斜线(\)与 NULL(NULL 字符)等字符都会被加上反斜线.这些转义是必须的,如果这个选项为Off,那么我们就必须调用addslashes这个函数来为字符串增加…

magic_quotes_sybase(魔术引号开关)

magic_quotes_sybase,如果该选项在php.ini文件中是唯一开启的话,将只会转义%00为\0(即null字符).此选项会完全覆盖magic_quotes_gpc.如果同时开启这两个选项的话,单引号将会被转义成两个单引号,%00会被转义为\0.而双引号.反斜线将不会进行转义. 接下来,我们来证明一下下面两句话: 当magic_quotes_gpc关闭,magic_quotes_sybase开启,对四个特殊字符转义的影响. 当magic_quotes_gpc开启,magic_quo…

magic_quotes_runtime(魔术引号开关)

我们可以通过以下代码来探测php环境中magic_quotes_runtime是否开启: magic_runtime.php 源代码如下: <?php //当magic_quotes_runtime=On的时候,get_magic_quotes_runtime函数的返回值为1 //当magic_quotes_runtime=Off的时候,get_magic_quotes_runtime函数的返回值为0 if (get_magic_quotes_runtime()) { echo 'magic_q…

PHP引号转义中解决POST,GET,Mysql数据自动转义问题

在处理mysql和GET.POST的数据时,常常要对数据的引号进行转义操作. PHP中有三个设置可以实现自动对’(单引号),”(双引号),\(反斜线)和 NULL 字符转转. PHP称之为魔术引号,这三项设置分别是 magic_quotes_gpc 影响到 HTTP 请求数据(GET,POST 和 COOKIE).不能在运行时改变.在 PHP 中默认值为 on. 这个开启时,通过GET,POST,COOKIE传递的数据会自动被转义. 如 test.php?id=abc'de"f echo $_G…

php 基础代码大全(不断完善中)

下面是基础的PHP的代码,不断完善中~ //语法错误(syntax error)在语法分析阶段,源代码并未被执行,故不会有任何输出. /* [命名规则] */ 常量名 类常量建议全大写,单词间用下划线分隔 // MIN_WIDTH 变量名建议用下划线方式分隔 // $var_name 函数名建议用驼峰命名法 // varName 定界符建议全大写 // <<<DING, <<<'DING' 文件名建议全小写和下划线.数字 // func_name.php 私有属性名.方…