Eine Frage, die mich seit heute beschäftigt, wie schon lange nichts mehr
Soll ich magic_quotes_gpc aktivieren, d.h. PHP auf alle Benutzereingaben addslashes anweden lassen, oder deaktivieren, d.h. bei jeder Gelegenheit selbst die entspr. Funktion (addslashes, mysql_real_escape_string, htmlentities etc.) verwenden?
Prinzipiell macht magic_quotes_gpc das Leben ja einfacher, denn man kann alle Daten, die über _POST oder _GET reinkommen, "einfach so" z.B. in mysql queries einfügen.
Ich frage mich aber, ob das die beste Lösung ist? Besonders besorgt bin ich eben wegen mysql queries, denn es gibt ja extra die Funktion mysql_real_escape_string() um seinen Code vor SQL-Injektionen zu schützen.
Bis jetzt mache ich es so: magic_quotes_gpc ist aktiviert, bei sql anfragen benutze ich erst stripslashes() und dann mysql_real_...().
Nun ist aber wiegesagt die Frage, ob ich magic_quotes_gpc nicht komplett deaktivieren soll. In den user comments im php manual liest man zu dem Thema auch total unterschiedliche Meinungen. Jedoch scheint die Meinung zu überwiegen, es zu deaktivieren.
Ich habe mir mal den phpBB Code angeschaut und dabei festgestellt, dass magic quotes, sofern nicht vorhanden, hinzugefügt werden. Ist das mit Verstand geplant oder nur ein Überrest aus der alten Zeit, wo eben noch mit automatischen magic quotes gearbeitet wurde?
Soll ich magic_quotes_gpc aktivieren, d.h. PHP auf alle Benutzereingaben addslashes anweden lassen, oder deaktivieren, d.h. bei jeder Gelegenheit selbst die entspr. Funktion (addslashes, mysql_real_escape_string, htmlentities etc.) verwenden?
Prinzipiell macht magic_quotes_gpc das Leben ja einfacher, denn man kann alle Daten, die über _POST oder _GET reinkommen, "einfach so" z.B. in mysql queries einfügen.
Ich frage mich aber, ob das die beste Lösung ist? Besonders besorgt bin ich eben wegen mysql queries, denn es gibt ja extra die Funktion mysql_real_escape_string() um seinen Code vor SQL-Injektionen zu schützen.
Bis jetzt mache ich es so: magic_quotes_gpc ist aktiviert, bei sql anfragen benutze ich erst stripslashes() und dann mysql_real_...().
Nun ist aber wiegesagt die Frage, ob ich magic_quotes_gpc nicht komplett deaktivieren soll. In den user comments im php manual liest man zu dem Thema auch total unterschiedliche Meinungen. Jedoch scheint die Meinung zu überwiegen, es zu deaktivieren.
Ich habe mir mal den phpBB Code angeschaut und dabei festgestellt, dass magic quotes, sofern nicht vorhanden, hinzugefügt werden. Ist das mit Verstand geplant oder nur ein Überrest aus der alten Zeit, wo eben noch mit automatischen magic quotes gearbeitet wurde?
Kommentar