Основы PHP
  Что такое PHP?
  Возможности PHP
  Преимущества PHP
  История развития
  Что нового в PHP5?
  «Движок» PHP
  Переход на PHP 5.3
New Переход на PHP 5.6
  Введение в PHP
  Изучение PHP
  Основы CGI
  Синтаксис PHP
  Типы данных PHP
  Переменные в PHP
  Константы PHP
  Выражения PHP
  Операторы PHP
  Конструкции PHP
  Ссылки в PHP
  PHP и ООП
  Безопасность
  Функции PHP
  Функции по категориям
  Функции по алфавиту
  Стандартные функции
  Пользовательские
  PHP и HTTP
  Работа с формами
  PHP и Upload
  PHP и Cookies
  PHP и базы данных
  PHP и MySQL
  Документация MySQL
  Учебники
  Учебники по PHP
  Учебники по MySQL
  Другие учебники
  Уроки PHP
  Введение
  Самые основы
  Управление
  Функции
  Документация
  Математика
  Файлы
  Основы SQL
  Дата и время
  CURL
  Изображения
  Стили
  Безопасность
  Установка
  Проектирование БД
  Регулярные выражения
  Подготовка к работе
  Быстрый старт
  Установка PHP
  Установка MySQL
  Конфигурация PHP
  Download / Скачать
  Скачать Apache
  Скачать PHP
  Скачать PECL
  Скачать PEAR
  Скачать MySQL
  Редакторы PHP
  Полезные утилиты
  Документация
  PHP скрипты
  Скачать скрипты
  Инструменты
  PHP в примерах
  Новости портала
 Главная   »  Безопасность в PHP
 
 

"Волшебные Кавычки" (Magic Quotes)

» Что представляют собой "Волшебные Кавычки"?
» Зачем использовать "Волшебные Кавычки"?
» Почему не нужно использовать "Волшебные Кавычки"?
» Отключение "Волшебных Кавычек"

"Волшебные Кавычки" (Magic Quotes) - это процесс, который позволяет автоматически экранировать входные данные PHP скрипта. Данный принцип позволяет экранировать внешние данные, приходящие в PHP скрипт во время его выполнения.

Что представляют собой "Волшебные Кавычки"?

Когда "Волшебные Кавычки" включены (активизированы), все ' (одиночные кавычки), " (двойные кавычки), \ (левый слэш) и NULL знаки автоматически экранируются левыми слэшами (\). Данный принцип аналогичен действию функции addslashes().

Существуют три директивы "Волшебных Кавычек":

  • magic_quotes_gpc

    Затрагивает данные запросов HTTP (GET, POST, и COOKIE). Не может быть установлена в процессе работы PHP скрипта и установлена в on по умолчанию.

    Смотрите также описание функции get_magic_quotes_gpc().

  • magic_quotes_runtime

    Если данная директива включена (on), большинство функций, которые возвращают данные из внешнего источника, включая базы данных и текстовые файлы, будут экранировать данные левыми слэшами (\). Может быть установлена во время выполнения PHP скрипта. По умолчанию директива установлена в off.

    Смотрите описание функций set_magic_quotes_runtime() и get_magic_quotes_runtime().

  • magic_quotes_sybase

    Если данная директива включена (on), одиночные кавычки экранируются двойными кавычками, вместо левых слэшей (\). Причем если данная директива установлена в on, это полностью отменяет установку директивы magic_quotes_gpc. Включение (on) обеих директив будет означать, что будут экранироваться только одиночные кавычки двойными кавычками ("). Двойные кавычки ("), левые слэши (\) и NULL останутся нетронутыми.

    Смотрите также описание функции ini_get(), которая позволяет получить значения упомянутых директив.

Зачем использовать "Волшебные Кавычки"?

1. Это полезно для начинающих программистов PHP

"Волшебные кавычки" были добавлены в PHP, чтобы помочь начинающим программистам языка PHP избегать фатальных последствий для безопасности системы при ошибках в коде написанных PHP скриптов, причем автоматически, без участия самого программиста. Хотя риск SQL инъекций при этом остается возможным, степень такого риска сводится к минимуму.

2. Это довольно удобно

Для того, чтобы вставлять данные в базу данных, "Волшебные Кавычки" можно не добавлять функцией addslashes() на всех Get, Post, и Cookie запросах, а делать это автоматически.

Почему не нужно использовать "Волшебные Кавычки"?

1. Мобильность

Включение экранирования и его выключение влияет на вашу мобильность. Используйте функцию get_magic_quotes_gpc() для проверки активной установки конфигурации "Волшебных Кавычек".

2. Производительность

Поскольку не каждая часть экранируемых данных используется в базах данных, существует потеря производительности PHP, поскольку обработка данных на предмет необходимости "экранирования" влечет за собой некоторую дополнительную нагрузку на систему. При необходимости произвести "экранирование" данных вы можете просто обращаться к соответствующим функциям (таким как addslashes()) и не пребегать к автоматическому экранированию "Волшебными Кавычками".

Вообще, при установке рекоммендуемых значений директив в файле конфигурации php.ini, автоматическое использование "Волшебних Кавычек" отключено, именно по соображениям производительности.

3. Неудобство

Поскольку не все данные нуждаются в экранировании, часто раздражет видеть "Волшебные Кавычки" там, где их не должно быть.Например, используя скрипт посылки электронной почту из формы, и видя связку \' в полученном сообщении электронной почты. А для устанения данной неприятности вам нужно будет часто прибегать к использованию функции stripslashes(), что, согласитесь, не очень удобно.

Отключение "Волшебных Кавычек"

Директива magic_quotes_gpc может быть выключена (off) только на системном уровне, но не во время исполнения скрипта. Так что функция ini_set() в данной ситуации вам не поможет.

Пример 1. Отключение "Волшебных Кавычек" на стороне сервера

Данный пример показывает как установить значение директивы "Волшебных Кавычек" в Off в файле конфигурации php.ini.

; Magic quotes
;

; Magic quotes for incoming GET/POST/Cookie data.
magic_quotes_gpc = Off

; Magic quotes for runtime-generated data, e.g. data from SQL, from exec(), etc.
magic_quotes_runtime = Off

; Use Sybase-style magic quotes (escape ' with '' instead of \').
magic_quotes_sybase = Off

Если вам недоступно изменение конфигурационного файла PHP, то вы можете использовать в таком случае .htaccess веб-сервера Apache, используя следующий метод:

php_flag magic_quotes_gpc Off

Если вам интересен небольшой переносимый PHP код, который позволяет конфигурировать "Волшебные Кавычки" во время исполнения скрипта определенным образом, то для вас ниже приведен листинг этого кода. Этот метод неэффективен, но иногда его использование может помочь. Итак, отключение magic_quotes_gpc во ремя исполнения скрипта PHP.

Пример 2. Альтернативный способ отключения "Волшебных Кавычек" во время исполнения скрипта

<?php
if (get_magic_quotes_gpc()) {
    function 
stripslashes_deep($value)
    {
        
$value is_array($value) ?
                    
array_map('stripslashes_deep'$value) :
                    
stripslashes($value);

        return 
$value;
    }

    
$_POST array_map('stripslashes_deep'$_POST);
    
$_GET array_map('stripslashes_deep'$_GET);
    
$_COOKIE array_map('stripslashes_deep'$_COOKIE);
}
?>

 
 
 <<< Назад 
 Содержание 
 Вперед >>> 
Есть еще вопросы или что-то непонятно - добро пожаловать на наш  форум портала PHP.SU 
 

 
Powered by PHP  Powered By MySQL  Powered by Nginx  Valid CSS