php 中遇到单引号/撇号问题,我正在编写以解析笑脸。
单引号是我一生的祸根,但在这里。
首先是一些代码...
首先是我的数组,其中包含笑脸和该笑脸的文件名。
这是一个单独的文件(笑脸地图.php(。
<?php
$smilies = array (
array('code' => ':)', 'filename' => 'smiley.gif'),
array('code' => ':(', 'filename' => 'sad.gif'),
array('code' => ';)', 'filename' => 'wink.gif'),
array('code' => ':D', 'filename' => 'grin.gif'),
array('code' => ';D', 'filename' => 'cheesy.gif'),
array('code' => '>:-(', 'filename' => 'angry.gif'),
array('code' => ':O', 'filename' => 'shocked.gif'),
array('code' => '8)', 'filename' => 'cool.gif'),
array('code' => '???', 'filename' => 'huh.gif'),
array('code' => '::-)', 'filename' => 'rolleyes.gif'),
array('code' => ':P', 'filename' => 'tongue.gif'),
array('code' => ':-[', 'filename' => 'embarrassed.gif'),
array('code' => ':*', 'filename' => 'lipsrsealed.gif'),
array('code' => ':-/', 'filename' => 'undecided.gif'),
array('code' => ':x', 'filename' => 'kiss.gif'),
array('code' => ':''(', 'filename' => 'cry.gif'),
array('code' => '>:-D', 'filename' => 'evil.gif'),
array('code' => '^-^', 'filename' => 'azn.gif'),
array('code' => 'O0', 'filename' => 'afro.gif'),
array('code' => 'LOL', 'filename' => '2funny.gif'),
array('code' => ':bash:', 'filename' => 'knuppel2.gif'),
array('code' => '>_<', 'filename' => 'tickedoff.gif'),
array('code' => ':?', 'filename' => 'idiot.gif'),
array('code' => ':!', 'filename' => 'uglystupid.gif'),
);
?>
然后我以这样的简单方式解析它们:
<?php
function parseSmilies($string)
{
require_once("smilies/smiley-map.php");
for ($i = 0; $i < count($smilies); $i++)
{
$filename = '<img src="smilies/' . $smilies[$i]['filename'] . '" alt="smiley" title="' . $smilies[$i]['code'] . '" />';
$string = str_replace($smilies[$i]['code'], $filename, $string);
}
return $string;
}
?>
就这样...包括微笑地图...阵列现已可用...搜索代码的字符串...交换图像代码的代码。
这一切都在我的本地机器(XAMPP(上运行良好。 但是当我在myserver中上传并运行它时,它错过了哭声:'(
我想这是导致问题的单引号,尽管我已经在数组中转义了它。
大概有一些PHP设置正在影响这个?
谁能建议?
非常感谢。
编辑:$string起价为_POST美元
这可能与 Magic Quotes.
有关。当 PHP 服务器中打开魔术报价时,所有超全局变量($_GET
、$_POST
等(中的'
都会被替换为 ''
,"
会被替换为 '"
。此机制已从 PHP 5.3.0 开始弃用,从 PHP 5.4.0 开始被删除。
然而,大多数虚拟主机服务器甚至还没有 PHP 5.3.0,而像 XAMPP 这样的私人服务器可能有一个更新版本的 PHP。因此,您的本地主机可能不会打开魔术报价,而您的网络服务器会打开。
魔术报价使得在将超全局值直接包含在查询中时无法执行SQL注入。例如:
<?php
$query = 'SELECT id FROM users WHERE name = "' . $_POST['name'] . '" AND password = "' . $_POST['password'] . "'";
?>
在password
字段中输入1" OR "1" = "1
的人可以轻松地将查询更改为SELECT id FROM users WHERE name = "admin" AND password = "1" OR "1" = "1"
有效地登录管理员帐户,而无需知道密码。
也就是说,我认为魔术报价只是人们无法保护其输入的后备机制,您应该始终将其关闭。更好的做法是保护自己的应用程序,而不是让 PHP 来做。
禁用魔术引号
这可以使用php.ini
来完成,但我想您无权访问托管服务器上的该文件。以下代码片段模拟禁用魔术报价:
<?php
if( get_magic_quotes_gcp( ) )
{
function stripslashes_deep( $val )
{
return is_array( $val ) ? array_map( 'stripslashes_deep', $val )
: stripslashes( $val );
}
$_GET = stripslashes_deep( $_GET );
$_POST = stripslashes_deep( $_POST );
$_COOKIE = stripslashes_deep( $_COOKIE );
$_REQUEST = stripslashes_deep( $_REQUEST );
}
?>
我想这是导致问题的单引号,尽管我已经在数组中转义了它。
不,它没有。事实并非如此。
大概有一些PHP设置正在影响这个?
不,没有 PHP 设置会影响这一点。
谁能建议?
你应该开始编写单元测试并测试你的代码,然后再让它上线。例如,你会发现你的函数只工作一次。下次调用它时,替换对不再定义(require_once
触发(。
在这个问题旁边,我可以想象您的实时系统上的数据与您的本地系统不同。如果在本地系统上对相同的数据执行该函数,则应看到它不起作用。
提示:
var_dump($string)
给什么?-
strtr
.