$wpdb->update 或 $wpdb->insert 导致在引号前添加斜杠答案

【问题标题】：$wpdb->update or $wpdb->insert results in slashes being added in front of quotes$wpdb->update 或 $wpdb->insert 导致在引号前添加斜杠
【发布时间】：2011-11-12 14:31:52
【问题描述】：

这个问题已经在各个地方提出了几次，但我还没有找到一个明确而明确的答案。大多数解决方案都涉及到人们说要禁用 php.ini 文件上的 Magic Quotes（我这样做了）或修改核心 WP 文件。

无论如何，问题是这样的：为什么每次我使用 $wpdb->insert 或 $wpdb->update 时都会在任何单引号之前添加一个斜杠。比如：

我吃过草莓变成我吃过草莓

这是我使用的示例代码：

$id = $_POST['id'];
$title = $_POST['title'];
$message = $_POST['message'];

$wpdb->update('table_name', array('id'=>$id, 'title'=>$title, 'message'=>$message), array('id'=>$id))

同样的问题在这里：Wordpress Database Output - Remove SQL Injection Escapes 但除了“禁用魔术引号”之外从未解决过

【问题讨论】：

你确定你禁用了魔术引号吗？你检查过phpinfo()
是的，这是 phpinfo 的摘录 --> magic_quotes_gpc Off Off magic_quotes_runtime Off Off magic_quotes_sybase Off Off
update() 调用中的那些额外/缺失的引号是拼写错误还是实际上在您的代码中？
@phil 正在添加额外的引号，这里没有错别字。看一下草莓的例子，看看它做了什么。这与 wpdb->insert 和 wpdb->update 实际上在前面放一个斜杠有关，但我不知道如何禁用它
@fewpeople 也许你误解了。您问题中的最后一行代码是一堆放错位置的单引号。那是它实际上的样子吗？另外，您在哪里看到添加的斜线（即，在 echo'd 标记、phpMyAdmin、MySQL 控制台等中）？

标签： php mysql wordpress

【解决方案1】：

花了一天的时间，答案如下：

Wordpress 在 $_POST 声明处转义，而不是在实际插入处，这很奇怪。

$id = stripslashes_deep($_POST['id']); //added stripslashes_deep which removes WP escaping.
$title = stripslashes_deep($_POST['title']);
$message = stripslashes_deep($_POST['message']);

$wpdb->update('table_name', array('id'=>$id, 'title'=>$title, 'message'=>$message), array('id'=>$id));

这样做意味着 WP 不会在任何引号前添加斜杠。

【讨论】：

救命稻草。谢谢@J李。如果不在这里，这肯定需要一些时间来调试。
也可以使用wp_unslash()整个$_POST数组

【解决方案2】：

更多信息——WordPress 决定通过添加“魔术引号”让人们觉得他们快疯了，即使您从 3.0 版开始就已将其关闭。对 $_REQUEST、$_GET、$_POST、$_COOKIE 或 $_SERVER 的任何访问都会受到影响。见wp-includes/load.php。

 /* Add magic quotes to $_GET, $_POST, $_COOKIE, and $_SERVER.
 * @since 3.0.0
 */
function wp_magic_quotes() {
        // If already slashed, strip.
        if ( get_magic_quotes_gpc() ) {
                $_GET    = stripslashes_deep( $_GET    );
                $_POST   = stripslashes_deep( $_POST   );
                $_COOKIE = stripslashes_deep( $_COOKIE );
        }

        // Escape with wpdb.
        $_GET    = add_magic_quotes( $_GET    );
        $_POST   = add_magic_quotes( $_POST   );
        $_COOKIE = add_magic_quotes( $_COOKIE );
        $_SERVER = add_magic_quotes( $_SERVER );

        // Force REQUEST to be GET + POST.
        $_REQUEST = array_merge( $_GET, $_POST );
}

【讨论】：

【解决方案3】：

WordPress 忽略内置的 php 魔术引号设置和值 get_magic_quotes_gpc() 并且将始终添加魔术引号（即使在该功能在 5.4 中从 PHP 中删除）。

你可以改用这个

//replace $_POST with $POST
$POST      = array_map( 'stripslashes_deep', $_POST);
$wpdb->insert( 
        'wp_mytable', 
        array( 
            'field_name'        => $POST['field_name'], 
            'type'              => $POST['type'],
            'values'            => serialize($POST['values']),
            'unanswered_link'   => $POST['unanswered_link'], 
        ), 
        array( 
            '%s','%s','%s','%s'
        ) 
    );

WordPress 这样做是因为有太多的核心和插件代码依靠那里的引号，所以禁用超级引号全局变量（正如“基本示例”和“良好编码”中所做的那样上面的实践”示例）可能会导致安全漏洞。

http://codex.wordpress.org/Function_Reference/stripslashes_deep

【讨论】：

有趣的是，您还可以替换整个 $_POST 变量本身（而不是创建不带下划线的新变量）。不知道这是多么可取...