如果你网站空间的php.ini文件里的magic_quotes_gpc设成了off，那么PHP就不会在敏感字符前加上反斜杠（\\），由于表单提交的内容可能含有敏感字符，如单引号（'），就导致了SQL injection的漏洞。在这种情况下，我们可以用addslashes()来解决问题，它会自动在敏感字符前添加反斜杠。 WE!vSZ3R  
但是，上面的方法只适用于magic_quotes_gpc=Off的情况。作为一个开发者，你不知道每个用户的magic_quotes_gpc是On还是Off，如果把全部的数据都用上addslashes()，那不是“滥杀无辜”了？假如magic_quotes_gpc=On，并且又用了addslashes()函数，那让我们来看看： g"8 .}1)~r  
php  u\e\'\  
//如果从表单提交一个变量$_POST['message']，内容为 Tom's book P\R27Jd  
//这此加入连接MySQL数据库的代码，自己写吧 dE=Ue#1U@5  
//在$_POST['message']的敏感字符前加上反斜杠 I4_d[O9  
$_POST['message'] = addslashes($_POST['message']); U9d:@9Y  
H=MCjh&$q  
//由于magic_quotes_gpc=On，所以又一次在敏感字符前加反斜杠 }=}>9DSM  
$sql = "Insert INTO msg_table VALUE('$_POST[message]');"; L\aBc}  
pd@;b5T  
//发送请求，把内容保存到数据库内 ]`=X'fED  
$query = mysql_query($sql); yubSj*  
! T9
]/H?  
//如果你再从数据库内提取这个记录并输出，就会看到 Tom\\'s book KpiF0K  
?> ]> !<G8=N  
)h$NS2B`  
这样的话，在magic_quotes_gpc=On的环境里，所有输入的单引号（'）都会变成（\\'）…… T3&`<%,f  
其实我们可以用get_magic_quotes_gpc()函数轻易地解决这个问题。当magic_quotes_gpc=On时，该函数返回TRUE；当magic_quotes_gpc=Off时，返回FALSE。至此，肯定已经有不少人意识到：问题已经解决。请看代码： Y}R}-+bD/  
php vP-M,4c  
//如果magic_quotes_gpc=Off，那就为提单提交的$_POST['message']里的敏感字符加反斜杠 /uqu32;o  
//magic_quotes_gpc=On的情况下，则不加 )hKS0`$|  
if (!get_magic_quotes_gpc()) { >um
!Eo  
$_POST['message'] = addslashes($_POST['message']); +FFG#6e  
} else {} @Cq? :o<  
?> Lm)\Z P+W  
其实说到这里，问题已经解决。下面再说一个小技巧。 p#8
W#t$  
有时表单提交的变量不止一个，可能有十几个，几十个。那么一次一次地复制/粘帖addslashes()，是否麻烦了一点？由于从表单或URL获取的数据都是以数组形式出现的，如$_POST、$_GET)那就自定义一个可以“横扫千军”的函数： fp>.Owt%.  
php "kW!{n  
function quotes($content) FcbM7/  
{ B\`Aojw"E?  
//如果magic_quotes_gpc=Off，那么就开始处理 " BTE  
if (!get_magic_quotes_gpc()) { &Y>zT9]$K  
//判断$content是否为数组 h+UnZfm  
if (is_array($content)) { yf1CXldi  
//如果$content是数组，那么就处理它的每一个单无 =Ov7C[(  
foreach ($content as $key=>$value) { Y0uvT7+[hi  
$content[$key] = addslashes($value); 3SG?W_  
} P~CrtTss  
} else { 0OZMlt%z  
//如果$content不是数组，那么就仅处理一次 !F4;_A`X  
addslashes($content);
+JdZPb  
} lPq\=
V  
} else { [IX+M#mf  
//如果magic_quotes_gpc=On，那么就不处理 L^Wz vv]  
} Nud,\mXrY[  
//返回$content !AHAS  
return $content; *7gT}O;p 5  
} 3Kq`<B~%  
?> Zc5 :]]  

浅谈开启magic_quotes_gpc后的sql注入攻与防 3M$X:$b  
通过启用php.ini配置文件中的相关选项，就可以将大部分想利用SQL注入漏洞的骇客拒绝于门外。 )l{A{f6O  
uRGB/ju^E  
       开启magic_quotes_gpc=on之后，能实现addslshes()和stripslashes()这两个函数的功能。在PHP4.0及以上的版本中，该选项默认情况下是开启的，所以在PHP4.0及以上的版本中，就算PHP程序中的参数没有进行过滤，PHP系统也会对每一个通过GET、POST、COOKIE方式传递的变量自动转换，换句话说，输入的注入攻击代码将会全部被转换，将给攻击者带来非常大的困难。 5Jw"{V?Ak  
Y^5"qd|`  
       虽然如此，攻击者仍然有机会进行SQL注入攻击。。。。。。前提是，当参数为数字型的时候，且未经过Intval()函数的处理，因为经过intval()的处理之后，所有的数据就都会强制转换成数字。 pe#*I/)b  
tnL."^%A2I  
       前面已经提到过，开启magic_quotes_gpc=on之后，相当于使用addslshes()这个函数。但是数字型没有用到单引号，所以理所当然的绕过了addslshes()函数的转换了。而使用MySQL自带的char()函数或者HEX()，char()可以将参数解释为整数并且返回这些整数的ASCII码字符组成的字符串，使用十六进制表示必须在数字前加上0x。 z'e1"Y.  
um}N%5GAa  
       实例演示： =N;$0Y(g  
voH4  
       假设我们知道管理员的用户名为admin，密码不知道。并且已经将magic_quotes_gpc启用。 !*8#jy  
L77E
bP`P  
       SQL语句：sql="select∗fromuserswhereusername=name and password='pwd′";注意：变量name没加引号 -sx-7LKi  
s8yCC#H"  
       此时，在地址栏中输入username=admin%23，则合成后的sql语句为： |zb`&tv}  
&R0OeRToUb  
　　select * from users where username='admin\' #' and password=''; n)Hk8)^8  
(Q\\Gw  
　　这时候通过url地址栏输入的单引号(’)将被加上反斜线，该sql语句将失效。 .u&|e  
U* 4{"  
　　admin转换成ASCII后是char(97,100,109,105,110) Io09W^  
G~O" /WM  
　　此时在地址栏中输入username=char(97,100,109,105,110)%23 /XjN%|  
:mzCeX8 *  
　　SQL语句就变成了： H'D#s;SlR  
Ko@zk<~"[  
　　select * from users where username=char(97,100,109,105,110)#' and password=''; OA!R5sOz"  
^P]?3U\nj  
　　执行结果为真，就可以顺利进入后台。 2B5A!?~>  
o; 6fvn  
　　对于数字型注入攻击，必须在任何的数字型参数放入数据库之前使用intval()对参数进行强制转换成数字，从而可以断绝数字型注入漏洞的产生。 :EYu 4Y  
poTl|y @  
　　比如：id=intval(_GET[‘id’]); oo;;y,`8py  
@<
wYT$  
　　select * from articles where id=’$id’; n9N#&Q"7m  
,LoMt ]H  
　　地址栏中输入：id=5’ or 1=1%23 (zjz]@qJ  
)3BR[*u
*  
　　SQL语句将变成：select * from articles where id=’5’; ~8XX3+]z:X  
N>Vacc_[  
　　而不是select * from articles where id=’5’ or 1=1#; fui4

@  
YgO aZqN  
总结： \Oi5=,  
V?U%C%C|e  
对于每一个变量都记得加上单引号，比如where username=’$name’, _8,vk-,'  
开启magic_quotes_gpc并不是绝对安全的，对于数字型注入攻击，仅仅使用addslashes()函数进行转换是不够的，还需使用intval()强制将参数转换成数字