魔术引用旧版和新版PHP

时间:2009-11-24 10:28:32

标签: php magic-quotes

这段代码应该确保干净的代码到达数据库

它应该适用于早期版本的PHP(早于4.3.0)和更高版本的php(早于4.3.0)

它运行良好,因为数据没有问题到达数据库但我在浏览器上出现错误

$menu_name = mysql_prep($_POST['menu_name']);

是我如何调用mysql_prep函数

function mysql_prep($value)
{

    $get_magic_quotes = get_magic_quotes_gpc();

    $new_enough_php = function_exists ("mysql_real_escape_string");  //check if php version is greater than 4.3.0

    if($new_enough_php) // if php is of a newer version 
    {
        //undo magic quotes effect so that mysql_real_escape_string can work well
        if ($get_magic_quotes)
        {
            $value = stripslashes ($value);
        }

        $value = mysql_real_escape_string($value);

    }
    else //mysql is older than 4.3.0    
    {
        //add slashes manually if magic quotes are off
        if(!$get_magic_quotes)
        {
            $value = addslashes ($value);
        }
        //if magic quotes already exist, slashes already exists
    }

    return $value;

    //$value = mysql_real_escape_string($value);

    //$value_without_slashes = stripslashes ($value);

    //return $value_without_slashes;

}

2 个答案:

答案 0 :(得分:2)

对于初学者来说,这个功能可以缩短到大约5行(也更容易阅读)。

其次,当你调用该函数时,你是否连接到MySQL?您必须连接PHP才能知道如何/逃脱。 mysql_real_escape_string的手册并未100%明确,但暗示:

  

如果未指定链接标识符,则假定mysql_connect()打开的最后一个链接。如果没有找到这样的链接,它将尝试创建一个,就好像mysql_connect()被调用而没有参数。

如果仍然无法解决问题,我建议在执行查询之前打印查询并检查所有内容是否有序。

答案 1 :(得分:0)

您不应该在DB方法中执行此操作,如果您运行的是PHP 5.3+,则可以将此代码放在页面的最顶层:

if (get_magic_quotes_gpc() === 1)
{
    $_GET = json_decode(stripslashes(json_encode($_GET, JSON_HEX_APOS)), true);
    $_POST = json_decode(stripslashes(json_encode($_POST, JSON_HEX_APOS)), true);
    $_COOKIE = json_decode(stripslashes(json_encode($_COOKIE, JSON_HEX_APOS)), true);
    $_REQUEST = json_decode(stripslashes(json_encode($_REQUEST, JSON_HEX_APOS)), true);
}

它处理键,值和多维数组中的魔术引号。

相关问题
最新问题