A mágikus idézőjeleket a bejövő GET/POST/Cookie adatok esetén használjuk. Ha a mágikus idézőjelek beállítás be van kapcsolva, akkor szerver oldal a stringben beküldött idézőjeleket helyettesíti a backslash-sel kiegészített párjukkal, azaz: \' vagy \" jelekkel. Ugyancsak helyettesíti a \ jelet \\ jellel és a NULL karaktert \NULL-lal. Ezek megakadályozzák az SQL injection támadásokat. Az alábbi php.ini beállítások javasoltak tehát:
data. magic_quotes_gpc = on magic_quotes_runtime = On magic_quotes_sybase = On
Megjegyzendő, hogy ezek a beállítások default módon be vannak kapcsolva a PHP.ini-ben, kikapcsolásuk tehát nem javallott.