【发布时间】:2012-03-14 16:16:28
【问题描述】:
每次发布 POST 时,我都会得到转义字符。
\ -> \\
' -> \'
" -> \"
我有一个多步骤表单,它将数据从一个表单传输到另一个表单。我将带有准备好的语句的值保存在数据库中。数据库中的值当前看起来像Paul\'s House。用户应该可以在他们的字符串中使用单引号和双引号。
这是一个演示转义效果的简单示例:
<?php
echo $_POST['value'];
?>
<form action="form.php" method="post" enctype="multipart/form-data">
<input type="hidden" name="value" value="Paul's House">
<input type="submit" value="Next">
</form>
为什么或谁转义了字符串?处理多种形式的数据的正确方法是什么?将其保存在数据库中的正确方法是什么?我应该使用stripslashes() 还是打开一个大的安全漏洞?
【问题讨论】:
-
Magic quotes 可能是您的问题。此“功能”通常为依赖它的旧脚本启用。该手册有 several suggestions 用于禁用该功能(您想要禁用它绝对是正确的)。
-
magic_quotes_gpc是On。将尝试更改 php.ini 设置。 -
为最新的 PHP 版本喝彩三声,实际上完全消除了魔术引号。
标签: php html forms post escaping