简洁的想法

仁爱、喜乐、和平、忍耐、恩慈、良善、信实、温柔、节制

PHP 中的 Addslashes 函数

| Comments

addslashes - 字符串加入斜线。


语法: string addslashes(string str);


内容说明


本函数使需要让数据库处理的字符串中引号的部份加上斜线,以供数据库查询 (query) 能顺利运作。这些会被改的字符包括单引号 (')、双引号 (")、反斜线 backslash (\) 以及空字符 NUL (the null byte)。
================
以上资料是官方的客套话,其实和没说一样。害得我还得亲自做实验。


1,表单提交中addslashes的表现。
首先要看get_magic_quotes_gpc()的值,一般为 1 。这时候从 <TEXTAREA> 提交的内容会自动加上斜线。
比如输 ' 变成 \', " 变成 \" , \ 变成 \\
例子:


<html><head><title>test</title></head>
<body>
<FORM action="" method=post>
<TEXTAREA  name=message rows="18" cols="55" >default text</TEXTAREA>
<INPUT type=submit value=Submit name=submit></FORM>
<?php
echo get_magic_quotes_gpc().

        " A ".$POST['message'].


        " B ".stripslashes($POST['message']);
?>
</body></html>


输入:include('/home/me/myfile');
输出:1 A include(\'/home/me/myfile\'); B include('/home/me/myfile');
总结:get_magic_quotes
gpc()等于1的情况下,如果不输入数据库,那你得到的结果是加了斜线的。



================


2,提交输入数据库时addslashes的表现。


例子:


<html><head><title>test</title></head>
<body>
<FORM action="" method=post>
<TEXTAREA  name=message rows="18" cols="55" >default text</TEXTAREA>
<INPUT type=submit value=Submit name=submit></FORM>
<?php
require
once('includes/common.php');
$db
>query("INSERT INTO `testtable` ( id , content ) VALUES ('1' , '".$POST['message']."')");
$query=$db->query("select * from `testtable` where `id`= 1;");
$Result=$db->fetch_array($query);
echo get_magic_quotes_gpc().

        " A ".$POST['message'].


        " B ".$Result['content'];
?>
</body></html>



输入:include('/home/me/myfile');
输出:1 A include(\'/home/me/myfile\'); B include('/home/me/myfile');
总结:get_magic_quotes_gpc()等于1的情况下,如果输入数据库后,再从数据库直接读取的时候,你不做任何修改就可以得到输入的字符串。



==============



3, get_magic_quotes_gpc()
get_magic_quotes_gpc()在服务器是的设置是不能runtime修改的,也就是说,你必须在你的网页代码中预先考虑好不同的情况,不然,当你提交数据的时候,你还不知道服务器给你加了斜线没有。以下两个网上流行的函数可能是大家需要的,个人喜欢第二个:

function my_addslashes( $message ){
    if(get_magic_quotes_gpc() 1 ){
        return $message;
    }else{
        if(is_array($message)==true){
            while(list($key,$value)=each($message)){
                $message[$key]=my_addslashes($value);
            }
            return $message;
        }else{
            return addslashes($message);
        }
    }
}







function my_addslashes($data){
if(!get_magic_quotes_gpc()){
   return is_array($data)?array_map('AddSlashes',$data):addslashes($data);
} else {
  Return $data;
}
}


简单的解释就是,如果get_magic
quotes
gpc()等于 1 (服务器默认设置为 1 ),那我们的字符串是可以直接入库的,不修改。不然,我们才用addslashes函数。

================



大家没有看错,我写了半天,就是告诉大家,addslashes() 一般是不起作用的。倒是在不连数据库的情况下,要用到stripslashes()函数,也就是把那讨厌的斜线去掉。

Comments