原文出處:http://developer.51cto.com/art/200911/165392.htm
1. 條件: PHP magic_quotes_gpc=off
寫入資料庫的字串未經過任何過濾處理。從資料庫讀出的字串也未作任何處理。
資料: $data=”snow”’’sun” ; (snow和sun之間是四個連續的單引號).
操作: 將字串:”snow”’’sun” 寫入資料庫,
結果: 出現sql語句錯誤,mysql不能順利完成sql語句,寫入資料庫失敗。
資料庫儲存格式:無資料。
輸出資料格式:無資料。
說明: 對於未經處理的單引號在寫入資料庫時會使sql語句發生錯誤。
2. 條件: PHP magic_quotes_gpc=off
寫入資料庫的字串經過函式addlashes()處理。從資料庫讀出的字串未作任何處理。
資料: $data=”snow”’’sun” ; (snow和sun之間是四個連續的單引號).
操作: 將字串:”snow”’’sun” 寫入資料庫,
結果: sql語句順利執行,資料成功寫入資料庫
資料庫儲存格式:snow”’’sun (和輸入一樣)
輸出資料格式:snow”’’sun (和輸入一樣)
說明: addslashes()函式將單引號轉換為’的轉義字元使sql語句成功執行,
但’並未作為資料存入資料庫,資料庫儲存的是snow”’’sun 而並不是我們想象的snow’’’’sun
3.條件: PHP magic_quotes_gpc=on
寫入資料庫的字串未經過任何處理。從資料庫讀出的字串未作任何處理。
資料: $data=”snow”’’sun” ; (snow和sun之間是四個連續的單引號).
操作: 將字串:”snow”’’sun” 寫入資料庫,
結果: sql語句順利執行,資料成功寫入資料庫
資料庫儲存格式:snow”’’sun (和輸入一樣)
輸出資料格式:snow”’’sun (和輸入一樣)
說明: PHP magic_quotes_gpc=on 將單引號轉換為’的轉義字元使sql語句成功執行,
但’並未作為資料入資料庫,資料庫儲存的是snow”’’sun而並不是我們想象的snow’’’’sun。
4.條件: PHP magic_quotes_gpc=on
寫入資料庫的字串經過函式addlashes()處理。從資料庫讀出的字串未作任何處理。
資料: $data=”snow”’’sun” ; (snow和sun之間是四個連續的單引號).
操作: 將字串:”snow”’’sun” 寫入資料庫,
結果: sql語句順利執行,資料成功寫入資料庫
資料庫儲存格式:snow’’’’sun (新增了轉義字元)
輸出資料格式:snow’’’’sun (新增了轉義字元)
說明: PHP magic_quotes_gpc=on 將單引號轉換為’的轉義字元使sql語句成功執行,
addslashes又將即將寫入資料庫的單引號轉換為’,後者的轉換被作為資料寫入
資料庫,資料庫儲存的是snow’’’’sun
總結如下:
1. 對於PHP magic_quotes_gpc=on的情況,
我們可以不對輸入和輸出資料庫的字串資料作
addslashes()和stripslashes()的操作,資料也會正常顯示。
如果此時你對輸入的資料作了addslashes()處理,
那麼在輸出的時候就必須使用stripslashes()去掉多餘的反斜槓。
2. 對於PHP magic_quotes_gpc=off 的情況
必須使用addslashes()對輸入資料進行處理,但並不需要使用stripslashes()格式化輸出
因為addslashes()並未將反斜槓一起寫入資料庫,只是幫助mysql完成了sql語句的執行。
補充:
PHP magic_quotes_gpc作用範圍是:WEB客戶服務端;作用時間:請求開始時,例如當指令碼執行時.
magic_quotes_runtime 作用範圍:從檔案中讀取的資料或執行exec()的結果或是從SQL查詢中得到的;作用時間:每次當指令碼訪問執行狀態中產生的資料