發表者討論內容

冷日
(冷日) 發表時間：2008/3/17 8:52

Webmaster

註冊日: 2008/2/19
來自:
發表數: 15771

[教學]在PHP中，寫入SQL語法時，是不是怕碰到單引號（'）或是雙引號(")呢？

事實上PHP團隊都幫我們想好了！
只要你把magic_quotes_gpc設定成On就可以了！
在哪裡設定呢？
請找到你的php.ini
修改如下：

; Magic quotes for incoming GET/POST/Cookie data.
;magic_quotes_gpc = Off
;原本可能是Off低，把他改成像下面這樣On起來就好了！
magic_quotes_gpc = On

而，php.ini中，還有其他類似的「quotes 」功能，順便介紹如下：

; Magic quotes for runtime-generated data, e.g. data from SQL, from exec(), etc.
magic_quotes_runtime = Off

; Use Sybase-style magic quotes (escape ' with '' instead of \').
magic_quotes_sybase = Off

最後是Wiki上的說明：
PHP的魔術引號（magic quotes）功能可以自動處理使用者輸入字串中的跳脫字元，有效避免SQL隱碼攻擊（SQL injection），但是因為不是每個使用者的輸入都會寫入到資料庫，處理這些沒有寫入資料庫的字串便浪費了效能。此外不是每個PHP環境都會開啟魔術引號，程式設計時需要便需要對不同的伺服器環境做因應，造成程式設計上的麻煩。魔術引號功能預計將會於PHP 6時取消。

回覆

平面展開

前一個主題 | 下一個主題 | |

| |

討論串

» [教學]在PHP中，寫入SQL語法時，是不是怕碰到單引號（'）或是雙引號(")呢？ (冷日
(冷日), 2008/3/17 8:52)
[教學]magic_quotes 個人實做的解決方案 (冷日
(冷日), 2008/3/17 8:53)
[轉貼]PHP防止注入 (冷日
(冷日), 2010/3/24 17:17)

發表新主題

PHP特區 : [教學]在PHP中，寫入SQL語法時，是不是怕碰到單引號（'）或是雙引號(")呢？

討論串