magic quotes wie nun am besten

auch mit der gefahr das es schon einiges zu dem thema gab hab ich doch nochmla 2-3 fragen und magic_quotes

wenn magic quotes vom webserver aus auf on ist brauch ich ja im prinzip keine weitere funktionen wie mysql_escape-string .. dann ist aber die frage: entschärft magic quotes nur anführungszeichen oder auch apostroph .. ? was passiert den wenn ich magic quotes on habe und trotzdem mysql_escape_string benutzte? und wenn ich schon dabei bin ,.. wie macht ihr es um code injektion und sql errors vorzubeugen? den da gibts ja noch andere funktionen addslashes ..usw?

was wäre die beste lösung sagen wir mal auch unabhängig von der magic quotes einstellung?

danke

Zitat:

Original geschrieben von frank7l7
auch mit der gefahr das es schon einiges zu dem thema gab hab ich doch nochmla 2-3 fragen und magic_quotes

wie du schon vermutest, hat das thema schon einen bart.

eine entsprechende suche im forum kann dir all deine fragen beantworten.

hab ja schon gesucht aber was ich nicht gefunden hab ist -> wenn ich auf magic_quotes anhabe und trotzdem mysql_escape_string benutzte hab ich dann doppelt gemoppelt?

nein.

wenn MQ = on , dann stripslashes.

wenn MQ = off , lasse es wie es ist.

zur DB immer mysql_escape_string() verwenden.

und genauso stand es auch in vielen thread. nur lesen muss man können.

ahc das sagst du so einfach ..... manchmal ises ja ganz einfach aber dann sieht man vor lauter böumen den wald halt ned mehr!

ich michs so

hauptsache du hast es verstanden...

ja im prinzip schon wäre auch alles einfach wenn nicht:

ich hab zwei seiten -> eingabe, ausgabe

eingabe übergibt per post daten an ausgabe -> ist ein fehler in den usereingaben postet die ausgabeseite in hidden form feldern die eingabewerte wieder zurück auf die eingabe .. ich weiß das ist ziemlich blöd gelöst das hab ich schon vor monaten geschrieben ... heute würde ich alle sauf einer seite machen. wie auch immer läßt sich jetzt nicht ändern!

das problem ensteht aber jetzt im hidden field irgendwie verschwinden dort bestimmte sonderzeichen wie " ' ????? horror hat es damit dem hidden field eine besondere bewandnis? darf ich dort nur bestimmte zeichen benutzten?

bei der ausgabe der daten solltest du htmlentities() verwenden.

Zitat:

Original geschrieben von Abraxax
nein.

wenn MQ = on , dann stripslashes.

wenn MQ = off , lasse es wie es ist.

zur DB immer mysql_escape_string() verwenden.

und genauso stand es auch in vielen thread. nur lesen muss man können.

Das ist grunsätzlich falsch, weil gerade Magicquotes die Sicherheit bringt! Wenn magic_quote_gpc Off sind dann solltest du alle GPC Variablen mit addslashes() behandeln, schon allein die Nutzung von addslashes() was bei magic_quotes_gpc geschieht schützt vor einer SQL Injection!

@electr0n

bei der VHS gibt es auch kurse zum lesen lernen......

Zitat:

Original geschrieben von Abraxax
zur DB immer mysql_escape_string() verwenden.

Zitat:

Original geschrieben von Abraxax
@electr0n

bei der VHS gibt es auch kurse zum lesen lernen......

Was kann ich dafür wenn du kein php kannst? Bei magic quotes On ne Var mit stripslashes() behandeln, das ist so ziemlich das unsicherste was man machen kann!

Zitat:

Original geschrieben von electr0n
Was kann ich dafür wenn du kein php kannst?

du solltest nicht von dir auf andere schliessen.

Zitat:

Was kann ich dafür wenn du kein php kannst?

Wenn Abraxax kein php kann dann kann er es zumindest gut verbergen. Was du erst noch beweisen mußt.

Vom Niveau sind wir leider bei heise-Forum angelangt

Offe

Zitat:

Original geschrieben von electr0n
Bei magic quotes On ne Var mit stripslashes() behandeln, das ist so ziemlich das unsicherste was man machen kann!

hör bitte endlich auf, hier so einen mist zu labern (wenn ich mich recht entsinne, hatten wir diese diskussion mit dir doch schon mal).

magic_quotes_gpc auf on ist vollkommen überflüssig, es hilft dir beim verarbeiten von daten in keinster weise weiter.

klar muss man vor dem einfügen von daten in eine mysql-query die daten so behandeln, dass sie für die schnittstelle der DB verständlich sind, und dass keiner mist damit machen kann. dafür hat der programmierer zu sorgen! und dafür hat man ihm die funktion mysql_(real_)escape_string() gegeben.


nochmal: magic_quotes_gpc ist nur ein sicherheitsmechanismus, um allzu leichtsinnige programmierer, die keine ahnung haben, vor sich selber zu schützen; nur deshalb ist es bei vielen providern auf on gesetzt. und so hartnäckig, wie du deinen unsinn hier wiederholst, scheinst du wohl einer von eben diesen programmierern zu sein.