服务器PHP开启magic_quotes_gpc导致提交内容多出反斜杠的解决办法

我们的网站常常会担心被SQL注入攻击,SQL注入是非常危险的问题,小则网站后台被入侵,重则整个服务器沦陷,所以一定要小心。你可以打开php.ini,里面有一个设置:

magic_quotes_gpc = Off

这个默认是关闭的,如果它打开后将自动把用户提交对sql的查询进行转换,比如把 ‘ 转为 \’ 等,相当于php中的addslashes()函数的处理。这对防止sql注射有重大作用,所以很多服务器都设置了:

magic_quotes_gpc = On

这又给我们带来一个新的问题,如果我们用户提交的是富文本编辑器的HTML内容,又或者在极端的条件下url中带有序列化的内容(带有双引号)。当我们使用$_GET和$_POST的时候会拿到一串被加上反斜杠的字符串,那么有可能将原始的内容破环之后写入数据库,或者反序列化的工作无法完成。那么我们可以使用stripslashes(string)函数将字符串的反斜杠给去掉:

/**
 * 处理服务器开启magic_quotes_gpc
 * @param string $str
 * @return string
 */
public function dealMagicQuotesGpc($str)
{
    if (ini_get('magic_quotes_gpc')) {
        $str = stripslashes($str);
    }
    return $str;
}

这个方法仅仅是改变一个字符串,还有一个方法是递归处理数组的:

if (ini_get('magic_quotes_gpc')) {
     function stripslashesRecursive(array $array)
     {
          foreach ($array as $k => $v) {
               if (is_string($v)) {
                    $array[$k] = stripslashes($v);
               } else if (is_array($v)) {
                    $array[$k] = stripslashesRecursive($v);
               }
          }
          return $array;
     }

     $_GET = stripslashesRecursive($_GET);
     $_POST = stripslashesRecursive($_POST);
}

上面这段代码可以放在框架的入口程序里,可以递归处理$_GET和$_POST数组的每个元素,不管这数组有多深。