magic_quotes_gpc?

Als Neuling von PHP ist mir der Sinn von magic_quotes_gpc bis jetzt noch
verschlossen geblieben. Wer kann mich aufklären!

Peter

Re: magic_quotes_gpc?

Peter Ahrens schrieb:

> Als Neuling von PHP ist mir der Sinn von magic_quotes_gpc bis jetzt noch
> verschlossen geblieben. Wer kann mich aufklären!

Na wer schon? ;-)

16.13. Wieso wird aus " plötzlich \" und wie geht das wieder weg?
http://www.php-faq.de/q/q-magic-quotes.html


Gruß
JPM

Re: magic_quotes_gpc?

Jens Peter Moeller schrieb:
> Peter Ahrens schrieb:
>
>> Als Neuling von PHP ist mir der Sinn von magic_quotes_gpc bis jetzt noch
>> verschlossen geblieben. Wer kann mich aufklären!
>
> Na wer schon? ;-)
>
> 16.13. Wieso wird aus " plötzlich \" und wie geht das wieder weg?
> http://www.php-faq.de/q/q-magic-quotes.html

Peter fragte nach dem *Sinn* - der blieb mir bisher allerdings auch
verschlossen ;-)

MfG
Niels

--
| http://www.kolleg.de · Das Portal der Kollegs in Deutschland |
| http://www.bsds.de · BSDS Braczek Software- und DatenSysteme |
| Webdesign · Webhosting · E-Commerce · Mambo Content Management |
`----------------------------------------------------------- -----´

Re: magic_quotes_gpc?

Niels Braczek schrieb:

>>>Als Neuling von PHP ist mir der Sinn von magic_quotes_gpc bis jetzt noch
>>>verschlossen geblieben. Wer kann mich aufklären!
>>
>>Na wer schon? ;-)
>>
>>16.13. Wieso wird aus " plötzlich \" und wie geht das wieder weg?
>>http://www.php-faq.de/q/q-magic-quotes.html
>
> Peter fragte nach dem *Sinn* - der blieb mir bisher allerdings auch
> verschlossen ;-)

Ich vermute mal, dass der Sinn eine halbautomatisierte
Eingabeüberprüfung sein soll. Kommen im nicht gequoteten String Zeichen
wie z.b. ein Hochkommata vor und verwendet man diesen String einfach so
in einem Sql-Query, öffnet man die Pforten für SQL-Injections.

Gruß
Torsten
--
www.meisterderspiele.de
Fast schon eine reine Downloadseite für PD-Roms und Goodtools.

www.thorny.de
Private Seite zur Veröffentlichung trübster Gedanken.
Kaum für jemanden interessant oder geeignet.

Re: magic_quotes_gpc?

Niels Braczek wrote:

Hallo,

> Peter fragte nach dem *Sinn* - der blieb mir bisher allerdings auch
> verschlossen ;-)

Kapitel 31. Magic Quotes
http://www.php.net/manual/de/security.magicquotes.php

What are Magic Quotes
Why use Magic Quotes
Why not to use Magic Quotes
Disabling Magic Quotes


Kurz zusammengefasst:
- Gute Idee zur Erhöhung der Sicherheit.
- Schlechte Implementierung und dadurch
im Grunde unbrauchbar.

- In der Praxis:
- Magic quotes ausschalten.
- Slashes entfernen, wenn get_magic_quotes_gpc() == true.
http://www.php.net/manual/de/security.magicquotes.disabling. php

- Code-Injection selbst mit der Überprüfung der Eingaben,
mysql_real_escape_string(), escapeshellcmd(), strip_tags(),
u.ä. verhindern.
- Das Ganze möglichst automatisieren.


tschuess
[|8:)

Re: magic_quotes_gpc?

On Tue, 11 Oct 2005 17:48:18 +0200, Sven Drieling wrote:

> - In der Praxis:
> - Magic quotes ausschalten.
> - Slashes entfernen, wenn get_magic_quotes_gpc() == true.
> http://www.php.net/manual/de/security.magicquotes.disabling. php

Oh ja und das sollte man nicht vergessen. Seit ich mit PHP 4.0.4 angefangen
habe war bei mir auf jeder Maschine magic_quotes_gpc abgeschaltet. Es war
eine sehr unangenehme Überraschung, ein Projekt auf einmal mit aktivierten
magic_quotes laufen lassen zu müssen - vor allem, da ich an diese
Konfiguration überhaupt nicht gedacht hatte.

Gruß,
Matthias

Re: magic_quotes_gpc?

Sven Drieling schrieb:
> Niels Braczek wrote:

>> Peter fragte nach dem *Sinn* - der blieb mir bisher allerdings auch
>> verschlossen ;-)
>
> Kurz zusammengefasst:
> - ...
> - Schlechte Implementierung und dadurch
> im Grunde unbrauchbar.

Eben.

MfG
Niels

--
| http://www.kolleg.de · Das Portal der Kollegs in Deutschland |
| http://www.bsds.de · BSDS Braczek Software- und DatenSysteme |
| Webdesign · Webhosting · E-Commerce · Mambo Content Management |
`----------------------------------------------------------- -----´

Re: magic_quotes_gpc?

Niels Braczek wrote:
> Sven Drieling schrieb:
>> Niels Braczek wrote:
>>> Peter fragte nach dem *Sinn* - der blieb mir bisher allerdings auch
>>> verschlossen ;-)
>>
>> Kurz zusammengefasst:
>> - ...
>> - Schlechte Implementierung und dadurch
>> im Grunde unbrauchbar.
>
> Eben.

Zeigt aber die Gedankengänge der PHP-Entwickler. Das ist nämlich eine
richtig MySQL-zentrierte "Lösung".

Der Gedankengang PHP = Web und Web = DB-Anwendung ist man ja schon
gewohnt. Nun eben DB = MySQL.