magic_quotes_gpc = 1 影响哪些超全局变量？

Question

通过查看该指令的名称，人们可能会认为 magic_quotes 仅适用于 $_GET、$_POST 和 $_COOKIE< /code> 超全局变量，但有一个一个令人不安的评论PHP手册上：

请注意，当 magic_quotes_gpc不仅设置 $_POST、$_GET、$_REQUEST、$_COOKIE 数组值被削减。实际上 $GLOBALS 数组中的每个字符串值 被削减，即。 $GLOBALS['_SERVER']['PATH_INFO']（或 $_SERVER['PATH_INFO']）。

谁能证实这是真的吗？超全局变量是 $GLOBALS、$_SERVER、$_FILES、$_SESSION 和 $_ENV 也受到影响吗？

还有一个问题，如果我在 $_GET、$_POST 和 $_COOKIE 数组上迭代 stripslashes() ，我还需要迭代 $_REQUEST 数组？或者更改会自动反映吗？

Answer 1

不管怎样，我建议你不要依赖GPC，因为它在较新的PHP版本中已被弃用...

它可能与你的问题不太相关，但在提出的SQL安全替代方案问题上，我通常使用准备好的语句+ mysql_real_escape_string MySQL。

为了使其接近完美，它涉及几个函数，因为它还应该支持整数、布尔值和空值，但您可以查看 NaturePhp .

Answer 2

我已使用 magic_quotes_gpc = On 和 $_SERVER 在 LightTPD 1.4.20 和 PHP 5.3.0 上运行了一些测试> 没有改变（至少 [SERVER_NAME] => local'host 没有改变）。 $_SESSION 也不受 magic_quotes 的影响。

$_GET、$_POST、$_COOKIE 和 $_REQUEST 受到影响（及其 $GLOBALS< /code> 对应）。

此外，GPC 超全局变量中的更改不会自动反映在 $_REQUEST 中。

至于 $_FILES 和 $_ENV 超全局变量，我无法在 ATM 上测试它们。

---

我终于运行了这个测试，令我惊讶的是，$_FILES 和 php://input 都受到影响。