为什么 php 不能将引号转换为 mysql 的 html 实体？

Question

PHP 默认使用“魔术引号”，但它受到了很多批评。我知道它将在 PHP 的下一个主要版本中禁用它。

虽然反对它的论点是有道理的，但我不明白的是为什么不直接使用 HTML 实体来表示引号而不是剥离和删除斜杠？毕竟，大部分 mySQL 都用于输出到 Web 浏览器？

例如，'使用 ' 代替 ' ，它根本不会影响数据库。

另一个问题，为什么 PHP 不能只为每个 PHP 版本设置带有此标签

只是好奇。 :)

Answer 1

如果您使用数据库内容只是输出到网页，那么将 ' 放入数据库中的字符串列中就可以了。但事实并非如此。

最好在输出时转义输出。这是您唯一一次确定输出将发送到网页，而不是日志文件、电子邮件或其他目的地。

PS：PHP 已经在标准 php.ini 文件中默认关闭了魔术引号。它在 PHP 5.3 中已被弃用，并且将在 PHP 6.0 中完全从该语言中删除。

Answer 2

这是一个很好的理由，主要是为了回应您自己发布的答案：使用 htmlspecialchars() 或 htmlentities() 确实不会使您的SQL 查询安全。这就是 mysql_real_escape_string() 的用途。

您似乎假设只有单引号和双引号字符会造成问题。 MySQL 查询实际上容易受到 \x00、\n、\r、\、' 的攻击数据中的、" 和 \x1a 字符。如果您没有使用准备好的语句或 mysql_real_escape_string()，那么您有SQL 注入漏洞。

htmlspecialchars() 和 htmlentities() 不会转换所有这些字符，因此您无法通过使用这些函数来确保查询安全。 addslashes() 也不能让您的查询安全！

其他较小的缺点包括其他发帖者已经提到的关于 MySQL 并不总是用于 Web 内容，以及事实上，您正在增加数据所需的存储量和索引空间（考虑为引号字符提供一个字节的存储，而为其实体形式考虑六个或更多字节的存储）。

Answer 3

我只回答你的第一个问题。

无论如何，验证输入都是错误的方法，因为输入并不重要，问题在于它的使用位置。 PHP 不能假设 MySQL 查询的所有输入都会输出到 HTML 实体有意义的上下文。

很高兴看到 magic_quotes 正在运行；这是 PHP 出现许多安全问题的原因，很高兴看到他们采用新方法:)

如果您针对您正在工作的上下文重新构建验证方法以在 OUTPUT 上进行验证，那么您将为自己带来很大帮助只有你作为程序员才能知道这一点。

Answer 4

MySQL 不将 ' 转换为 ' 的原因是 ' 不是 '。如果您想转换数据以进行输出，您应该在视图层而不是数据库中执行此操作。在回显之前/时调用 htmlentities 实际上并不难。

Answer 5

谢谢大家。我必须认真思考你的意思以及如果我将引号更改为 HTML 实体而不是向它们添加斜杠，它可能会产生什么影响，但同样，这实际上不是也改变了输出/输入吗？

我想不出为什么我们不能或不应该在 mySQL 中使用 HTML 实体，只要我们明确所有数据都是使用 HTML 实体编码的。毕竟，我的论点是基于这样一个事实，即大多数 mySQL 用于输出到 HTML 浏览器，而且 ' 和 " 和 / 会严重损害 mySQL 数据库。所以，对 ' 和 进行编码实际上不是更安全吗？ " 和 / 作为 HTML 实体，然后将它们作为 INSERT 查询发送？另外，我们正在使用 XML，那么为什么在访问已在 HTML 实体中编码的数据时还要浪费时间编写 htmlentities、stripslashes 和 addslashes呢？

Answer 6

您不能仅将 ' 转换为 '。想一想：当你想存储字符串“'”时会发生什么？如果您存储 '，那么当您加载页面时，它将显示 ' 而不是 '。

所以现在您必须转换所有 HTML 实体，而不仅仅是引号。然后你开始陷入各种奇怪的转换问题。最简单的解决方案是将真实数据存储在数据库中，然后您就可以按照自己的喜好显示它。您可能想要使用实际的引号 - 在大多数情况下 " 和 ' 在标记括号之外不会造成任何损害。

有时您可能希望将实际的 HTML 存储在一个字段并以原始方式显示它（只要在输入/输出时对其进行检查和清理）。