解决魔术引号，或者只是确保它们关闭？

Question

是否值得将我的代码更改为“更便携”并能够处理魔法引号的恐怖，或者我应该确保它始终通过 .htaccess 文件关闭？

if (get_magic_quotes_gpc()) {
    $var = stripslashes($_POST['var']);
} else {
    $var = $_POST['var'];
}

相对

php_flag magic_quotes_gpc off

Answer 1

不要同时适应这两种情况。 两条代码路径=两倍的麻烦，而且你很可能会犯错并忘记在某个地方处理这两种情况。

我曾经检查魔术引号是否打开或关闭，如果打开，则撤消它们的魔术（正如线程中其他人所建议的那样）。 这样做的问题是，您正在更改其他程序员可能期望的配置环境（无论多么愚蠢）。

这些天我编写代码，就好像魔术引号关闭一样，在我的主 include/bootstrap/always-runs 文件中，我检查魔术引号是否打开或关闭。 如果它们打开，我会抛出一个异常，解释为什么这是一件坏事，并提供如何关闭它们的说明。

这种方法允许您针对单一行为进行编码，鼓励其他人使用您的代码正确配置他们的服务器（魔术引号在 PHP 6 中消失），并且如果有人确实需要魔术引号，他们可以处理你的例外并把他们的生命掌握在自己手中。

Answer 2

我会使用 get_magic_quotes_gpc() 检查设置并执行一个大噪音退出并出现错误。 在错误中通知管理员正确的设置。

Answer 3

如果可能的话，我会确保它已关闭（需要访问 .htaccess 或 apache 配置）。 最好完全避免它，而不是剥离它的行为，因为它需要更多的资源并且容易出现错误。

如果禁用它不是一个选项，您的示例代码可能对输入超全局变量（$_GET、$_POST，...）有用，但请确保不要将其应用于来自除这些超全局变量以外的来源的数据。 这种滥用非常常见。

只需确保关闭 magic_quotes_gpc() 时有适当的转义机制来保护您免受 SQL 注入（例如 mysql_real_escape_string() 或 PDO 准备语句）。 您可以在此处阅读有关 SQL 注入预防的更多信息。

Answer 4

顺便说一句，php 6 将不再支持它们。 因此，写掉它们的代码可能在将来是有益的。