magic_quotes_gpc?
am 11.10.2005 12:19:56 von Peter AhrensAls Neuling von PHP ist mir der Sinn von magic_quotes_gpc bis jetzt noch
verschlossen geblieben. Wer kann mich aufklären!
Peter
Als Neuling von PHP ist mir der Sinn von magic_quotes_gpc bis jetzt noch
verschlossen geblieben. Wer kann mich aufklären!
Peter
Peter Ahrens schrieb:
> Als Neuling von PHP ist mir der Sinn von magic_quotes_gpc bis jetzt noch
> verschlossen geblieben. Wer kann mich aufklären!
Na wer schon? ;-)
16.13. Wieso wird aus " plötzlich \" und wie geht das wieder weg?
http://www.php-faq.de/q/q-magic-quotes.html
Gruß
JPM
Jens Peter Moeller schrieb:
> Peter Ahrens schrieb:
>
>> Als Neuling von PHP ist mir der Sinn von magic_quotes_gpc bis jetzt noch
>> verschlossen geblieben. Wer kann mich aufklären!
>
> Na wer schon? ;-)
>
> 16.13. Wieso wird aus " plötzlich \" und wie geht das wieder weg?
> http://www.php-faq.de/q/q-magic-quotes.html
Peter fragte nach dem *Sinn* - der blieb mir bisher allerdings auch
verschlossen ;-)
MfG
Niels
--
| http://www.kolleg.de · Das Portal der Kollegs in Deutschland |
| http://www.bsds.de · BSDS Braczek Software- und DatenSysteme |
| Webdesign · Webhosting · E-Commerce · Mambo Content Management |
`----------------------------------------------------------- -----´
Niels Braczek schrieb:
>>>Als Neuling von PHP ist mir der Sinn von magic_quotes_gpc bis jetzt noch
>>>verschlossen geblieben. Wer kann mich aufklären!
>>
>>Na wer schon? ;-)
>>
>>16.13. Wieso wird aus " plötzlich \" und wie geht das wieder weg?
>>http://www.php-faq.de/q/q-magic-quotes.html
>
> Peter fragte nach dem *Sinn* - der blieb mir bisher allerdings auch
> verschlossen ;-)
Ich vermute mal, dass der Sinn eine halbautomatisierte
Eingabeüberprüfung sein soll. Kommen im nicht gequoteten String Zeichen
wie z.b. ein Hochkommata vor und verwendet man diesen String einfach so
in einem Sql-Query, öffnet man die Pforten für SQL-Injections.
GruÃ
Torsten
--
www.meisterderspiele.de
Fast schon eine reine Downloadseite für PD-Roms und Goodtools.
www.thorny.de
Private Seite zur Veröffentlichung trübster Gedanken.
Kaum für jemanden interessant oder geeignet.
Niels Braczek wrote:
Hallo,
> Peter fragte nach dem *Sinn* - der blieb mir bisher allerdings auch
> verschlossen ;-)
Kapitel 31. Magic Quotes
http://www.php.net/manual/de/security.magicquotes.php
What are Magic Quotes
Why use Magic Quotes
Why not to use Magic Quotes
Disabling Magic Quotes
Kurz zusammengefasst:
- Gute Idee zur Erhöhung der Sicherheit.
- Schlechte Implementierung und dadurch
im Grunde unbrauchbar.
- In der Praxis:
- Magic quotes ausschalten.
- Slashes entfernen, wenn get_magic_quotes_gpc() == true.
http://www.php.net/manual/de/security.magicquotes.disabling. php
- Code-Injection selbst mit der Überprüfung der Eingaben,
mysql_real_escape_string(), escapeshellcmd(), strip_tags(),
u.ä. verhindern.
- Das Ganze möglichst automatisieren.
tschuess
[|8:)
On Tue, 11 Oct 2005 17:48:18 +0200, Sven Drieling wrote:
> - In der Praxis:
> - Magic quotes ausschalten.
> - Slashes entfernen, wenn get_magic_quotes_gpc() == true.
> http://www.php.net/manual/de/security.magicquotes.disabling. php
Oh ja und das sollte man nicht vergessen. Seit ich mit PHP 4.0.4 angefangen
habe war bei mir auf jeder Maschine magic_quotes_gpc abgeschaltet. Es war
eine sehr unangenehme Überraschung, ein Projekt auf einmal mit aktivierten
magic_quotes laufen lassen zu müssen - vor allem, da ich an diese
Konfiguration überhaupt nicht gedacht hatte.
Gruß,
Matthias
Sven Drieling schrieb:
> Niels Braczek wrote:
>> Peter fragte nach dem *Sinn* - der blieb mir bisher allerdings auch
>> verschlossen ;-)
>
> Kurz zusammengefasst:
> - ...
> - Schlechte Implementierung und dadurch
> im Grunde unbrauchbar.
Eben.
MfG
Niels
--
| http://www.kolleg.de · Das Portal der Kollegs in Deutschland |
| http://www.bsds.de · BSDS Braczek Software- und DatenSysteme |
| Webdesign · Webhosting · E-Commerce · Mambo Content Management |
`----------------------------------------------------------- -----´
Niels Braczek
> Sven Drieling schrieb:
>> Niels Braczek wrote:
>>> Peter fragte nach dem *Sinn* - der blieb mir bisher allerdings auch
>>> verschlossen ;-)
>>
>> Kurz zusammengefasst:
>> - ...
>> - Schlechte Implementierung und dadurch
>> im Grunde unbrauchbar.
>
> Eben.
Zeigt aber die Gedankengänge der PHP-Entwickler. Das ist nämlich eine
richtig MySQL-zentrierte "Lösung".
Der Gedankengang PHP = Web und Web = DB-Anwendung ist man ja schon
gewohnt. Nun eben DB = MySQL.