Магические кавычки (magic quotes) - PHP

Linel · 11.02.2010, 13:07

На хостинге включены магические кавычки. Насколько я понимаю, они экранируют спецсимволы. Это может быть полезно для защиты от SQL инъекций. Собственно вопрос: что будет более эффективно – экранирование символов с помощью этой функции или же отключить её и искать другой способ защиты от инъекций (например, экранировать самостоятельно, с помощью других функций)? Спасибо.

mv28jam · 11.02.2010, 13:43

Обрабатывать весь POST и GET в зависимости от того включены ли magic quotes.

PHP код:


			
if (!ini_get('magic_quotes_gpc') ){ 

      foreach ($_POST as $key => $input_arr)  $_POST[$key] = addslashes($input_arr);

}

Linel · 11.02.2010, 14:07

А сами magic quotes с точки зрения защиты от инъекций эффективны?

Adepts · 12.02.2010, 13:51

Я отключаю по умолчанию экранирование в php.ini, так как экранирование всего и вся по умолчанию не есть хорошо. Все что надо я экранирую через addslashes

SkyM@n · 12.02.2010, 13:53

Цитата:

Сообщение от Adepts

Я отключаю по умолчанию экранирование в php.ini, так как экранирование всего и вся по умолчанию не есть хорошо. Все что надо я экранирую через addslashes

почему не есть хорошо?

tranceman · 12.02.2010, 14:21

Adepts, при addslashes всеравно возможно провести sql inj если MySQL будет использовать мультибайтовую кодировку. Правда хоть UTF-8 относится к мультибайтовым но в нем не получится провести инж.

11.02.2010, 13:07	#1
Linel Форумчанин Регистрация: 21.02.2009 Сообщений: 372	Магические кавычки (magic quotes) На хостинге включены магические кавычки. Насколько я понимаю, они экранируют спецсимволы. Это может быть полезно для защиты от SQL инъекций. Собственно вопрос: что будет более эффективно – экранирование символов с помощью этой функции или же отключить её и искать другой способ защиты от инъекций (например, экранировать самостоятельно, с помощью других функций)? Спасибо. No name. Just Linel.

11.02.2010, 13:43	#2
mv28jam Старожил Регистрация: 09.09.2008 Сообщений: 2,624	Обрабатывать весь POST и GET в зависимости от того включены ли magic quotes. PHP код: `if (!ini_get('magic_quotes_gpc') ){ foreach ($_POST as $key => $input_arr) $_POST[$key] = addslashes($input_arr); }` Стрелок-охотник

11.02.2010, 14:07	#3
Linel Форумчанин Регистрация: 21.02.2009 Сообщений: 372	А сами magic quotes с точки зрения защиты от инъекций эффективны? No name. Just Linel.

12.02.2010, 14:21	#6
tranceman Пользователь Регистрация: 18.08.2009 Сообщений: 53	Adepts, при addslashes всеравно возможно провести sql inj если MySQL будет использовать мультибайтовую кодировку. Правда хоть UTF-8 относится к мультибайтовым но в нем не получится провести инж. < Trump C0D3 / > - Source code is in each! (c)кронос

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Heroes of Might and Magic 5	Alar	Gamedev - cоздание игр: Unity, OpenGL, DirectX	40	01.10.2009 11:30
Кавычки в PHP	Linel	PHP	4	01.05.2009 16:35
кавычки	Артэс	Общие вопросы C/C++	1	15.02.2009 04:04
Кавычки	JRcoker	Свободное общение	3	08.10.2008 13:19
кавычки у PHP	Lilith	PHP	1	27.06.2008 23:38

12.02.2010, 13:51	#4
Adepts Новичок Джуниор Регистрация: 12.02.2010 Сообщений: 1	Я отключаю по умолчанию экранирование в php.ini, так как экранирование всего и вся по умолчанию не есть хорошо. Все что надо я экранирую через addslashes