使用禁用的魔术引号揭开 PHP 中神秘的自动转义 Post 数据

在 PHP 中处理 POST 数据时，特别是在 PHP 中WordPress 环境中，尽管关闭了魔术引号，仍有可能遇到意外的自动转义行为。当 POST 数据自动转义时，就会出现这个令人费解的问题，尽管据说魔法引号已被禁用（get_magic_quotes_gpc() 返回 0）。

WordPress 的影响

深入研究后深入研究这个问题，很明显 WordPress 在触发这种自动转义机制中发挥着至关重要的作用。当 WordPress 作为应用程序初始化过程的一部分进行引导时，其代码会干扰 PHP 魔术引号的自然行为。

WordPress 包含拦截请求数据（包括 POST 数据）并执行某些操作的功能，其中之一正在转义单引号 (')。即使在 php.ini 中禁用了魔术引号，这种行为也会延续。

Bug 的来源

对 WordPress 代码库的仔细检查发现了一个在下面报告的错误WordPress Core Trac 系统（票号 18322）。此问题与请求数据的错误处理有关，从而触发了不需要的转义。

解决方案

幸运的是，有一个解决方案可以解决这种自动转义的困境。 WordPress Codex 建议在对 POST 数据执行任何操作之前使用 stripslashes_deep() 函数“取消转义”POST 数据。通过使用此功能，您可以有效地覆盖 WordPress 的自动转义并以原始格式检索数据。

要实现此解决方案，请将以下代码添加到您的 PHP 脚本中：

$_GET       = array_map('stripslashes_deep', $_GET);
$_POST      = array_map('stripslashes_deep', $_POST);
$_COOKIE    = array_map('stripslashes_deep', $_COOKIE);
$_SERVER    = array_map('stripslashes_deep', $_SERVER);
$_REQUEST   = array_map('stripslashes_deep', $_REQUEST);

此代码从所有超全局变量中删除斜线，确保在 PHP 中访问 POST 数据时不会自动转义。