Magic quotes für get/post/cookie aktivieren oder deaktivieren?

Eine Frage, die mich seit heute beschäftigt, wie schon lange nichts mehr

Soll ich magic_quotes_gpc aktivieren, d.h. PHP auf alle Benutzereingaben addslashes anweden lassen, oder deaktivieren, d.h. bei jeder Gelegenheit selbst die entspr. Funktion (addslashes, mysql_real_escape_string, htmlentities etc.) verwenden?

Prinzipiell macht magic_quotes_gpc das Leben ja einfacher, denn man kann alle Daten, die über _POST oder _GET reinkommen, "einfach so" z.B. in mysql queries einfügen.

Ich frage mich aber, ob das die beste Lösung ist? Besonders besorgt bin ich eben wegen mysql queries, denn es gibt ja extra die Funktion mysql_real_escape_string() um seinen Code vor SQL-Injektionen zu schützen.

Bis jetzt mache ich es so: magic_quotes_gpc ist aktiviert, bei sql anfragen benutze ich erst stripslashes() und dann mysql_real_...().

Nun ist aber wiegesagt die Frage, ob ich magic_quotes_gpc nicht komplett deaktivieren soll. In den user comments im php manual liest man zu dem Thema auch total unterschiedliche Meinungen. Jedoch scheint die Meinung zu überwiegen, es zu deaktivieren.

Ich habe mir mal den phpBB Code angeschaut und dabei festgestellt, dass magic quotes, sofern nicht vorhanden, hinzugefügt werden. Ist das mit Verstand geplant oder nur ein Überrest aus der alten Zeit, wo eben noch mit automatischen magic quotes gearbeitet wurde?

Zitat:

Original geschrieben von DoubleJ2k
Ich habe mir mal den phpBB Code angeschaut und dabei festgestellt, dass magic quotes, sofern nicht vorhanden, hinzugefügt werden. Ist das mit Verstand geplant oder nur ein Überrest aus der alten Zeit, wo eben noch mit automatischen magic quotes gearbeitet wurde?

Ich persönlich halte das eher für Faulheit (genaugenommen für Blödheit). Letzlich sind diese Funktionen in PHP implementiert in der Annahme das die meisten Verwender Trottel sind und die Provider sich und Ihre Server schützen müsssen.

Dem Entwickler selbst bleibt nichts anderes übrig als auf den bestehenden Status entsprechend zu reagieren ... sonst hat man schnell mal ein paar Quotes zuviel in der Datenbank stehen.

Ich persönlich schleife sowohl in- als auch verschiedene outputs über entsprechende Klassen und gehe im Source davon aus das nix magic und nix gequoted ist ... so hält man tüchtig sie Sinne wach ... und weiss immer was man gerade macht ... zudem macht einen dieses Vorgehen tüchtig flexibel wenn mal irgendwo ein PHP-interner Fehler auftaucht ...

Ok, das hat mich überzeugt bzw. in meiner Meinung gestärkt
Ab jetzt wird ohne magic_quotes_gpc programmiert...

Nicht ohne ... aber Unterberücksichtigung der Einstellungen so "normalisiert" als wenn ohne ... !