PHP 5.3自動從表單字符串轉義$ _GET/$ _ POST？

Question

我的服務器管理員最近升級到PHP 5.3，我得到一個奇怪的「錯誤」（或PHP的人有它的feature）。爲了明顯的安全原因，我的大部分字符串表單數據都有mysql_real_escape_string，但現在看來這個轉義已經由PHP完成了。

<?php 

echo $_GET["escaped"]; 

?> 

<form method="get"> 
    <input type="text" name="escaped" /> 
</form> 

此輸出，如果我例如escape 'this test'，escape \'this test\'進入。如果我使用POST而不是GET，也是如此。

它是直接綁定到5.3升級還是我的管理員可以觸發php.ini文件中的自動切換？另外，我應該如何保持它（如果它確實是一個很好的失敗證明機制，能正確捕獲所有的get和post變量），或者我應該禁用它（如果這甚至是可能的！）並去回到mysql_real_escape_string？我的膽量告訴我方法2是最好的，但方法1會有些自動化。 :)

編輯：其實，我需要禁用它。有時我會收集表單數據，並在發生錯誤的情況下將其重新發送給客戶表單（即缺少字段），所以我不希望他/她的斜槓出現在任何地方。

Answer 1

這http://www.php.net/manual/en/info.configuration.php#ini.magic-quotes-gpc選項「功能」被稱爲magic_quotes_gpc並且不是保護您免受所有SQL注入攻擊（addslashes在輸入超全局的每個元素上調用，例如$_POST和$_GET。這忽略了實際的輸入/數據庫編碼）。因此不推薦使用should not be used。

官方的PHP手冊includes a neat way to undo it in php code，但你應該只是關掉它。

Answer 2

這是由於magic quotes，你應該關閉它。

這裏是你如何把它關掉：http://www.php.net/manual/en/security.magicquotes.disabling.php

你要麼通過php.ini中或通過$_GET和$_POST去除所有變量斜線做到這一點，顯然前者是推薦的路要走。

---

正如威爾·馬丁建議，您還可以通過.htaccess這樣的改變：

 
php_flag magic_quotes_gpc off 

此處瞭解詳情：http://php.net/manual/en/configuration.changes.php

Answer 3

檢查在php.ini

Answer 4

聽起來好像您的服務器啓用了魔術引號 - 您可以查看 http://www.php.net/manual/en/security.magicquotes.disabling.php以瞭解如何禁用它們的方法。