Новая тема   Ответить

 Vyacheslav
Подскажите существует ли ещё такая фишка (к примеру в php5), когда php скрипт заменяет в десках верхнюю кавычку на /' или \' ..
Что надо перключить дабы избежать этого?
Помоему кто-то говорил, что нарушается какой-то из моментов безопасности. Так ли это?

 taj
http://php.net/manual/ru/security.magicquotes.php

С версии PHP 5.3.0 эта возможность считается УСТАРЕВШЕЙ

 mr.green
В php.ini
magic_quotes_gpc=ON
подробнее
http://www.php.net/manual/en/security.magicquotes.what.php

 FXIX
$a = $_GET['a'];
if (!get_magic_quotes_gpc()) {
$a = addslashes($_GET['a']);
}

 Pentarh
Чето тут насоветовали как включить мэджик квотес. ТС, сделай наоборот все

вообще дыбильная опция а-ля костыль для быдло-кодеров, забывающих про mysql_escape_string(). уже давно как неактуальна и на ее включение обычно народ матерится.

 mr. snatch
угу маджик квотес зло, но тут народ скорее просто показывает, как обрабатывать ситуации, когда она или включена, или нет.
Ну а вообще, если юзать БД-специфик, то тогда уже mysql_real_escape_string (которая так же берёт в учёт и кодировку БД), а так, вообще PDO рулит.
Кстати, на пхпклабе как-то длинная дискуссия по поводу *_escape_string vs addslashes развилась, в общем, эксперементально, при участии некоторых ПЫХ-разработчиков, было доказано, что addslashes фигня универсальная, и рулит вне зависимости от кодировки, хотя, лично я всё-таки квотю средствами самого PDO (просто квотинг или в типизированные, в случае байнда и т.д.)

 FXIX
mr. snatch: да проблема надуманна. из любого фреймворка выдери класс работы с БД, - там все сто лет назад решено, и кодировки и экранирование. натыкаются те кто на голом пхп велосипеды строит