关于PHP的魔术引号

来自PHP手册(http://php.net/manual/zh/security.magicquotes.what.php)的内容，记录一下。

当魔术引号打开时，所有的 '（单引号），"（双引号），\（反斜线）和 NULL 字符都会被自动加上一个反斜线进行转义。这和 addslashes() 作用完全相同。

一共有三个魔术引号指令：

• magic_quotes_gpc 影响到 HTTP 请求数据（GET，POST 和 COOKIE）。不能在运行时改变。在 PHP 中默认值为 on。 参见 get_magic_quotes_gpc()。
• magic_quotes_runtime 如果打开的话，大部份从外部来源取得数据并返回的函数，包括从数据库和文本文件，所返回的数据都会被反斜线转义。该选项可在运行的时改变，在PHP 中的默认值为 off。 参见 set_magic_quotes_runtime() 和 get_magic_quotes_runtime()。
• magic_quotes_sybase 如果打开的话，将会使用单引号对单引号进行转义而非反斜线。此选项会完全覆盖 magic_quotes_gpc。如果同时打开两个选项的话，单引号将会被转义成 ''。而双引号、反斜线 和 NULL 字符将不会进行转义。 如何取得其值参见 ini_get()。

为了能写出移植性较强的代码（可以运行于任何环境），例如不能修改服务器配置的情况，下面的例子可以在运行时关闭 magic_quotes_gpc。但是这样做比较低效，适当的修改配置才是更好的办法。

以下是在运行时关闭魔术引号的方法：

<?phpif (get_magic_quotes_gpc()) {    function stripslashes_deep($value)    {        $value = is_array($value) ?                    array_map('stripslashes_deep', $value) :                    stripslashes($value);        return $value;    }    $_POST = array_map('stripslashes_deep', $_POST);    $_GET = array_map('stripslashes_deep', $_GET);    $_COOKIE = array_map('stripslashes_deep', $_COOKIE);    $_REQUEST = array_map('stripslashes_deep', $_REQUEST);}?>

对于较早版本的PHP处理如下：

1. 对于magic_quotes_gpc=on的情况，
          我们可以不对输入和输出数据库的字符串数据作addslashes()和stripslashes()的操作,数据也会正常显示。如果此时你对输入的数据作了addslashes()处理，
          那么在输出的时候就必须使用stripslashes()去掉多余的反斜杠。

2. 对于magic_quotes_gpc=off 的情况
          必须使用addslashes()对输入数据进行处理，但并不需要使用stripslashes()格式化输出因为addslashes()并未将反斜杠一起写入数据库，只是帮助mysql完成 了sql语句的执行。