PHP7如何在php.ini文件中开启自动转义功能？ php.ini中不包含magic-quote

首先说明下magic-quote在PHP5.4版本中就已经废除了。详情请参考：https://www.php.net/manual/zh/info.configuration.php

1. magic_quotes_gpc和magic_quotes_runtime作用

magic_quotes_gpc主要是作用是自动转义GET/POST/COOKIES请求的数据，也就是自动执行 addslashes()。magic_quotes_gpc在5.4版本之前的配置中有两个值，分别是0（关闭）和1（开启），默认配置是1（开启）。

magic_quotes_runtime主要作用是自动转移sql，为了防止恶意攻击获取数据库信息。magic_quotes_runtime在5.4版本前的配置也有两个值，分别是0（关闭）和1（开启），默认配置是0（关闭）。

2. magic_quotes_gpc和magic_quotes_runtime的应用

假设提交过来的数据分别是$datastr= 'aaa'  $datafile= implode(file('demo.txt'))第一个数据是一个字符串，第二个是读取的文件信息，但是你不知道是否安全。就可以使用get_magic_quotes_gpc()和get_magic_quotes_runtime()进行判断。

应用示例

注意：一般来说为了运行效率会将get_magic_quotes_gpc()和get_magic_quotes_runtime()设置成常量进行判断

应用示例

在php中：

* 以单引号为定界符的php字符串，支持两个转义\'和\\

* 以双引号为定界符的php字符串，支持下列转义：

\n 换行（LF 或 ASCII 字符 0x0A（10））

\r 回车（CR 或 ASCII 字符 0x0D（13））

\t 水平制表符（HT 或 ASCII 字符 0x09（9））

\\ 反斜线

\$ 美元符号

\" 双引号

\[0-7]{1,3} 此正则表达式序列匹配一个用八进制符号表示的字符

\x[0-9A-Fa-f]{1,2} 此正则表达式序列匹配一个用十六进制符号表示的字符

举几个例子:

一个包含\0特殊字符的例子：

$str = "ffff\0ffff"

echo(strlen($str))

echo("\n")

for($i=0$i<strlen($str)$i++)echo("\t".ord($str{$i}))

echo("\n")

输出结果：

----------------------

9

102 102 102 102 0 102 102 102 102

替换特殊字符的例子

$str = "ffff\0ffff"

$str = str_replace("\x0", "", $str)

//或者用$str = str_replace("\0", "", $str)

//或者用$str = str_replace(chr(0), "", $str)

echo(strlen($str))

echo("\n")

for($i=0$i<strlen($str)$i++)echo("\t".ord($str{$i}))

echo("\n")

输出结果：

----------------------

8

102 102 102 102 102 102 102 102

八进制ascii码例子：

//注意，符合正则\[0-7]{1,3}的字符串，表示一个八进制的ascii码。

$str = "\0\01\02\3\7\10\011\08\8"//这里的\8不符合要求，被修正为"\\8" （ascii为92和56）

echo(strlen($str))

echo("\n")

for($i=0$i<strlen($str)$i++)echo("\t".ord($str{$i}))

echo("\n")

输出结果：

----------------------

11

0 1 2 3 7 8 9 0 56 92 56

十六进制ascii码例子：

$str = "\x0\x1\x2\x3\x7\x8\x9\x10\x11\xff"

echo(strlen($str))

echo("\n")

for($i=0$i<strlen($str)$i++)echo("\t".ord($str{$i}))

echo("\n")

输出结果：

----------------------

10

0 1 2 3 7 8 9 16 17 255

\t \n 等是为了向 *** 作系统的文本字符表示方式兼容。而echo print 之类的是输出为HTML标记，所以浏览器解析的时候会使这些字符换成了空格。在HTML里没有制表符的特殊字符表示，只有在<pre>标签里才会保留制表符。例如：echo "<pre>"."s\tsid\na"."<pre>"

---