Discuz 字符串过滤函数daddslashes

迪巴拉 · 发表于 2023-7-24 18:44:49

马上注册，免费下载更多dz插件网资源。

您需要登录才可以下载或查看，没有账号？立即注册

×

function daddslashes($string, $force = 0, $strip = FALSE) { //字符串或数组是否强制是否去除 //如果魔术引用未开启或 $force不为0 if(!MAGIC_QUOTES_GPC || $force) { if(is_array($string)) { //如果其为一个数组则循环执行此函数 foreach($string as $key => $val) { $string[$key] = daddslashes($val, $force); } } else { //如果魔术引用开启或$force为0 //下面是一个三元操作符，如果$strip为true则执行stripslashes去掉反斜线字符，再执行addslashes //$strip为true的，也就是先去掉反斜线字符再进行转义的为$_GET,$_POST,$_COOKIE和$_REQUEST $_REQUEST数组包含了前三个数组的值 //这里为什么要将＄string先去掉反斜线再进行转义呢，因为有的时候$string有可能有两个反斜线，stripslashes是将多余的反斜线过滤掉 $string = addslashes($strip ? stripslashes($string) : $string); } } return $string; }

复制代码

从上面的函数我们可以看出，只要是$_GET,$_POST,$_COOKIE和$_REQUEST这四个超全局变量，都会进行特殊过滤，因为$_REQUEST函数包含了前面的三个函数，所以才要过滤这四个函数，当是这四个超全局变量的时候，不管是否开启了魔术引用，都将进行下面的先去掉反斜线再进行转义。
这样可以有效的防止太多的反斜线。
非常实用的字符串过滤函数！！！

©DZ插件网所发布的一切资源仅限用于学习和研究目的；不得将上述内容用于商业或者非法用途，否则，一切后果请用户自负。
本站内容为站长个人技术研究记录或网络，不提供用户交互功能，所有内容版权归原作者所有。您必须在下载后的24个小时之内，从您的电脑中彻底删除上述内容。如果您喜欢该程序，请支持正版软件，得到更好的正版服务。
您在本站任何的赞助购买、下载、查阅、回复等行为等均表示接受并同意签订《DZ插件网免责声明协议》。
如有侵权请邮件与我们联系处理: discuzaddons@vip.qq.com 并出示相关证明以便删除。敬请谅解！

Discuz智能体 · 发表于 2025-3-20 12:53:51

`daddslashes` 是 Discuz! 中一个非常实用的字符串过滤函数，主要用于对用户输入的数据进行安全处理，防止 SQL 注入等安全问题。以下是对该函数的详细解析：

### 函数定义

function daddslashes($string, $force = 0, $strip = FALSE) {
// 如果魔术引用未开启或 $force 不为 0
if(!MAGIC_QUOTES_GPC || $force) {
if(is_array($string)) { // 如果其为一个数组则循环执行此函数
foreach($string as $key => $val) {
$string[$key] = daddslashes($val, $force);
}
} else {
// 如果 $strip 为 true，则先去掉反斜线再进行转义
$string = addslashes($strip ? stripslashes($string) : $string);
}
}
return $string;
}

复制代码

### 参数说明
1. **$string**: 需要处理的字符串或数组。
2. **$force**: 是否强制进行转义，即使魔术引用已经开启。
3. **$strip**: 是否先去掉反斜线再进行转义。

### 函数逻辑
1. **魔术引用检查**:
- `MAGIC_QUOTES_GPC` 是一个 PHP 配置选项，如果开启，PHP 会自动对 `$_GET`、`$_POST`、`$_COOKIE` 和 `$_REQUEST` 中的数据进行转义。
- 如果 `MAGIC_QUOTES_GPC` 未开启，或者 `$force` 参数为 1，函数会继续执行转义操作。

2. **数组处理**:
- 如果 `$string` 是一个数组，函数会递归地对数组中的每个元素调用 `daddslashes` 函数。

3. **字符串处理**:
- 如果 `$string` 是字符串，函数会根据 `$strip` 参数决定是否先去掉反斜线再进行转义。
- `stripslashes` 函数用于去掉字符串中的反斜线。
- `addslashes` 函数用于在字符串中的特殊字符前添加反斜线，以防止 SQL 注入。

### 应用场景
- **$_GET、$_POST、$_COOKIE 和 $_REQUEST**:
- 这些超全局变量通常包含用户输入的数据，容易受到 SQL 注入等攻击。
- 通过 `daddslashes` 函数对这些数据进行处理，可以有效防止安全问题。

### 示例

// 假设 $_POST['username'] 包含用户输入的数据
$username = daddslashes($_POST['username'], 0, TRUE);
// 现在 $username 已经过安全处理，可以放心地用于数据库查询
$sql = "SELECT * FROM users WHERE username = '$username'";

复制代码

### 总结
`daddslashes` 函数是 Discuz! 中一个非常重要的安全函数，能够有效防止 SQL 注入等安全问题。在处理用户输入数据时，建议使用该函数进行过滤，以确保网站的安全性。

如果你有更多关于 Discuz! 开发的问题，欢迎随时提问！
-- 本回答由人工智能 AI智能体生成，内容仅供参考，请仔细甄别。

AI智能体 · 发表于 2025-3-21 16:28:08

`daddslashes` 是 Discuz! 中一个非常实用的字符串过滤函数，主要用于对用户输入的数据进行安全处理，防止 SQL 注入等安全问题。以下是对该函数的详细解析：

### 函数定义

function daddslashes($string, $force = 0, $strip = FALSE) {
// 如果魔术引用未开启或 $force 不为 0
if(!MAGIC_QUOTES_GPC || $force) {
if(is_array($string)) { // 如果其为一个数组则循环执行此函数
foreach($string as $key => $val) {
$string[$key] = daddslashes($val, $force);
}
} else {
// 如果魔术引用开启或 $force 为 0
// 下面是一个三元操作符，如果 $strip 为 true 则执行 stripslashes 去掉反斜线字符，再执行 addslashes
// $strip 为 true 的，也就是先去掉反斜线字符再进行转义的为 $_GET, $_POST, $_COOKIE 和 $_REQUEST
// $_REQUEST 数组包含了前三个数组的值
// 这里为什么要将 $string 先去掉反斜线再进行转义呢，因为有的时候 $string 有可能有两个反斜线，stripslashes 是将多余的反斜线过滤掉
$string = addslashes($strip ? stripslashes($string) : $string);
}
}
return $string;
}

复制代码

### 参数说明
- **$string**: 需要处理的字符串或数组。
- **$force**: 是否强制进行转义处理，即使魔术引用已经开启。
- **$strip**: 是否先去除反斜线再进行转义处理。

### 函数逻辑
1. **魔术引用检查**:
- 如果魔术引用未开启（`MAGIC_QUOTES_GPC` 为 `false`）或者 `$force` 参数为 `1`，则进入处理逻辑。
- 魔术引用是 PHP 的一个特性，自动对 `$_GET`、`$_POST`、`$_COOKIE` 和 `$_REQUEST` 中的数据进行转义。但在 PHP 5.4.0 之后，魔术引用已被移除，因此这个函数在较新的 PHP 版本中仍然有效。

2. **数组处理**:
- 如果 `$string` 是一个数组，函数会递归地对数组中的每个元素调用 `daddslashes` 函数。

3. **字符串处理**:
- 如果 `$string` 是字符串，函数会根据 `$strip` 参数决定是否先去除反斜线再进行转义。
- 如果 `$strip` 为 `true`，则先调用 `stripslashes` 去除反斜线，再调用 `addslashes` 进行转义。
- 如果 `$strip` 为 `false`，则直接调用 `addslashes` 进行转义。

4. **返回值**:
- 返回处理后的字符串或数组。

### 应用场景
- **防止 SQL 注入**: 在将用户输入的数据插入数据库之前，使用 `daddslashes` 对数据进行转义，可以有效防止 SQL 注入攻击。
- **处理超全局变量**: 对于 `$_GET`、`$_POST`、`$_COOKIE` 和 `$_REQUEST` 这些超全局变量，通常会设置 `$strip` 为 `true`，以确保数据的安全性。

### 示例

// 假设 $_POST['username'] = "O'Reilly";
$username = daddslashes($_POST['username'], 0, true);
// $username 现在是 "O\'Reilly"

复制代码

### 注意事项
- **魔术引用的废弃**: 由于魔术引用在 PHP 5.4.0 之后已被废弃，因此在实际开发中，建议始终将 `$force` 参数设置为 `1`，以确保数据的安全性。
- **数据库转义**: 虽然 `daddslashes` 可以防止 SQL 注入，但在实际开发中，建议使用预处理语句（Prepared Statements）来进一步确保数据库操作的安全性。

通过 `daddslashes` 函数，Discuz! 能够有效地处理用户输入的数据，确保系统的安全性。如果你有更多关于 Discuz! 开发的问题，欢迎继续提问！
-- 本回答由人工智能 AI智能体生成，内容仅供参考，请仔细甄别。