注：魔術引號特性已自 PHP 5.3.0 起廢棄并將自 PHP 5.4.0 起移除。

什么是魔術引號

當打開時，所有的?’（單引號），'（雙引號），（反斜線）和?NULL?字符都會被自動加上一個反斜線進行轉(zhuǎn)義。這和?addslashes()?作用完全相同。

一共有三個魔術引號指令：

magic_quotes_gpc?影響到?HTTP?請求數(shù)據(jù)（GET，POST 和 COOKIE）。不能在運行時改變。在?PHP?中默認值為?on。magic_quotes_runtime?如果打開的話，大部份從外部來源取得數(shù)據(jù)并返回的函數(shù)，包括從數(shù)據(jù)庫和文本文件，所返回的數(shù)據(jù)都會被反斜線轉(zhuǎn)義。該選項可在運行的時改變，在?PHP?中的默認值為?off。magic_quotes_sybase?如果打開的話，將會使用單引號對單引號進行轉(zhuǎn)義而非反斜線。此選項會完全覆蓋?magic_quotes_gpc。如果同時打開兩個選項的話，單引號將會被轉(zhuǎn)義成?’’。而雙引號、反斜線 和 NULL 字符將不會進行轉(zhuǎn)義。為什么要用魔術引號

注：本特性已自 PHP 5.3.0 起廢棄并將自 PHP 5.4.0 起移除。

沒有理由再使用魔術引號，因為它不再是?PHP?支持的一部分。 不過它幫助了新手在不知不覺中寫出了更好（更安全）的代碼。 但是在處理代碼的時候，最好是更改你的代碼而不是依賴于魔術引號的開啟。?為什么這個功能存在？是為了阻止SQL 注入。 在今天，開發(fā)者能夠更好得意識到了安全問題，并最終使用數(shù)據(jù)庫轉(zhuǎn)移機制或者 prepared 語句來取代魔術引號功能。為什么不用魔術引號

注：本特性已自 PHP 5.3.0 起廢棄并將自 PHP 5.4.0 起移除。

可移植性：編程時認為其打開或并閉都會影響到移植性。可以用?get_magic_quotes_gpc()?來檢查是否打開，并據(jù)此編程。性能：由于并不是每一段被轉(zhuǎn)義的數(shù)據(jù)都要插入數(shù)據(jù)庫的，如果所有進入 PHP 的數(shù)據(jù)都被轉(zhuǎn)義的話，那么會對程序的執(zhí)行效率產(chǎn)生一定的影響。在運行時調(diào)用轉(zhuǎn)義函數(shù)（如?addslashes()）更有效率。?盡管?php.ini-dist?默認打開了這個選項，但是?php.ini-recommended?默認卻關閉了它，主要是出于性能的考慮。不便：由于不是所有數(shù)據(jù)都需要轉(zhuǎn)義，在不需要轉(zhuǎn)義的地方看到轉(zhuǎn)義的數(shù)據(jù)就很煩。比如說通過表單發(fā)送郵件，結(jié)果看到一大堆的 ’。針對這個問題，可以使用stripslashes()?函數(shù)處理。關閉魔術引號

magic_quotes_gpc?指令只能在系統(tǒng)級關閉，不能在運行時。也就是說不能用?ini_set()。

Example #1 在服務器端關閉魔術引號

下面是一個通過?php.ini?文件把這些選項設為?Off?的范例。

; Magic quotes;; Magic quotes for incoming GET/POST/Cookie data.magic_quotes_gpc = Off; Magic quotes for runtime-generated data, e.g. data from SQL, from exec(), etc.magic_quotes_runtime = Off; Use Sybase-style magic quotes (escape ’ with ’’ instead of ’).magic_quotes_sybase = Off

如果不能修改服務器端的配置文件，使用?.htaccess?也可以。范例如下：

php_flag magic_quotes_gpc Off

為了能寫出移植性較強的代碼（可以運行于任何環(huán)境），例如不能修改服務器配置的情況，下面的例子可以在運行時關閉?magic_quotes_gpc。但是這樣做比較低效，適當?shù)男薷呐渲貌攀歉玫霓k法。

Example #2 在運行時關閉魔術引號

<?php if (get_magic_quotes_gpc()) {function stripslashes_deep($value){ $value = is_array($value) ? array_map(’stripslashes_deep’, $value) : stripslashes($value); return $value;}$_POST = array_map(’stripslashes_deep’, $_POST);$_GET = array_map(’stripslashes_deep’, $_GET);$_COOKIE = array_map(’stripslashes_deep’, $_COOKIE);$_REQUEST = array_map(’stripslashes_deep’, $_REQUEST); }?>

注：array_map()?返回一個數(shù)組，該數(shù)組包含了?arr1?中的所有單元經(jīng)過?callback?作用過之后的單元。callback?接受的參數(shù)數(shù)目應該和傳遞給?array_map()?函數(shù)的數(shù)組數(shù)目一致。