阅读前提：你必须看过php手册上的第iv部分安全的第10章魔术引号。如果没看过，也没问题，现在马上花10分钟先看一下php手册上的这东西。
魔术引号（magic quote）是一个自动将进入 php 脚本的数据进行转义的过程
你可能想让你的程序兼容多个数据库，但你使用的不同的数据库可能使用不同的转义符，而我们的程序又有可能运行在不同的php.ini配置的主机上，关于magic_quotes的配置又可能不一样，所以编写不受魔术引号影响的php应用是高兼容性的php应用所必须的。
php.ini中有三个魔术引号配置选项：
  魔术引号配置选项   描述  运行时改变 在 php中的默认值为 
  magic_quotes_gpc 如果打开的话，影响到 http 请求数据（get，post 和 cookie）。  不能  on
 magic_quotes_runtime 如果打开的话，大部份从外部来源取得数据并返回的函数，包括从数据库和文本文件，所返回的数据都会被反斜线转义。（前提是magic_quotes_gpc = on）  能  off
 magic_quotes_sybase 当关闭时，所有的 '（单引号），（双引号），/（反斜线）和 null 字符都会被自动加上一个反斜线进行转义。这和 addslashes() 作用完全相同。
    如果打开的话，将会使用单引号对单引号进行转义而非反斜线。此选项会完全覆盖 magic_quotes_gpc。如果同时打开两个选项的话，单引号将会被转义成 ''。而双引号、反斜线 和 null 字符将不会进行转义。 
（前提是magic_quotes_gpc = on）
 能  off
但是要处理外部传来的全局变量就比较麻烦了。
要 处理外部超级变量，我们要看magic_quotes_gpc是否已经打开(如果magic_quotes_gpc没打开，而 magic_quotes_sybase打开，magic_quotes_sybase也不起作用),还要看magic_quotes_sybase是否 打开，再看我们的程序需要对外部变量用addslashes转义方式还是使用magic_quotes_sybase式的转义方式。下面的代码是一个具体 的实现。
    有人可能说，当magic_quotes_gpc设成on，而magic_quotes_sybase设成off，那么直接用 ini_set('magic_quotes_sybase', 1);就能让系统用'来对addslashes式的转义进行覆盖。这样是不行的。你用ini_get('magic_quotes_sybase')输出 看下配置，magic_quotes_sybase的确被改变了，但是你的代码就是不能用'转义符覆盖addslashes式的自动转义。这是因为系统获 取外部变量的时候，是在你的ini_set('magic_quotes_sybase', 1);之前完成的。
/**
 * 解决不受magic_quotes影响的php应用
 *
 * 使用这个处理办法需要配置是否使用magic_quotes_sybase, 以适应不同的dbms
 *
 * 设置方法：
 * $usequotessybase[数据库名] = 1;
 * 如：使用sqlite，则定义并初始化 $usequotessybase['sqlite'] = 1;
 * 如果使用mysql，可以定义并初始化 $usequotessybase['sqlite'] = 0; 也可以不定义
 *
 * config_db_dbms 为所用的dbms的常量， 在别处定义。比如 define('config_db_dbms', 'mysql');
 *
 * @author 流水孟春 cmpan(at)qq.com
 * @link http://lib.cublog.cn
 * $date 2007.11.18
 */
error_reporting(e_all);
set_magic_quotes_runtime(0);
define('config_db_dbms', 'sqlite'); // 测试用
// 使用 ' 做转义符的数据库
$usequotessybase = array();
$usequotessybase['sqlite'] = 1;
$usequotessybase['sybase'] = 1;
if(!empty($_post)) $_post = array_map('quotesoutervars', $_post);
if(!empty($_get)) $_get = array_map('quotesoutervars', $_get);
$_cookie = array_map('quotesoutervars', $_cookie);
$_request = array_map('quotesoutervars', $_request);
function quotesoutervars($var) {
    if (is_array($var)) {
        return array_map('quotesoutervars',$var);
    } else {
        if (get_magic_quotes_gpc()) {
            if (isset($globals['usequotessybase'][config_db_dbms]) && $globals['usequotessybase'][config_db_dbms]) {
                // 当前需要以 ' 为转义符
                // 如果 magic_quotes_sybase = off, 系统将把外部变量 addslashes, 我们得先 stripslashes
                // 否则系统自动把 ' 换成 '',
                if (!ini_get('magic_quotes_sybase')) {
                    $var = stripslashes($var);
                    $var = str_replace(', '', $var);
                }
            } else {
                // 当前需要以 / 为转义符
                // 如果 magic_quotes_sybase = on, 我们先把 '' 替换成 ', 然后在 addslashes
                // 否则系统自动quotes
                if (ini_get('magic_quotes_sybase')) {
                    $var = str_replace(', '', $var);
                    $var = addslashes($var);
                }
            }
        } else{
            if (isset($globals['usequotessybase'][config_db_dbms]) && $globals['usequotessybase'][config_db_dbms]) {
                $var = str_replace(', '', $var);
            } else {
                $var = addslashes($var);
            }
        }
        return trim($var);
    }
}
从上面的表我们可以看出，对于magic_quotes_runtime，我在程序中用 ini_set('magic_quotes_runtime', 0);就可以把它关掉，然后可以用自己的方法来处理来自数据库或文件的数据。