PHP 安全设置 %5c magic_quotes_gpc GBK

安全问题。

今天看到一个朋友的blog上，写到PHP的安全设置，应该开启magic_quotes_gpc，避免SQL注入等。

可是，我在用Symfony开发时，文档上说应该关闭php.ini的magic_quotes_gpc，以前我不知道为什么，今天突然有些明白了。

这个设置，只能起到非常有限的安全作用，却有可能带来更严重的问题。

PHP的放置SQL注入，很多网站或教程上，都写着用addslashes或mysql_escape_string来过滤，或者用自动的magic_quote。这些函数的作用，就是查询字符串中的单引号、双引号和斜线”\”，在这些字符前面插入一个斜线”\”。

如果遇到了”頫運鳿黒靄錦鳿黒靄錦”这样的字符，而你的数据库、网页又是GBK编码的话，上面的3种过滤函数，都会给你带来麻烦，因为这些字符的第二个字节的编码，是%5c，恰好是”\”对应的编码。

原本是2个字节的汉字，被这些函数变成了3个字节，最后的2个字节是连续的”\”，而这第3个”\”会把后续的引号转义，因此SQL语句就会出错，导致更新无法执行。

安全建议：

1. 设置php.ini，默认关闭magic_quotes_gpc
2. 使用mysql_real_escape_string对字符串变量进行转义，注意，转义前判断magic_quotes_gpc是否已开启
3. 使用utf-8编码，可以有效避免此类问题

Tags: gbk, magic_quote_gpc, utf-8