php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Entwicklung > PHP Developer Forum
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


PHP Developer Forum Hier habt ihr die Möglichkeit, eure Skriptprobleme mit anderen Anwendern zu diskutieren. Seid so fair und beantwortet auch Fragen von anderen Anwendern. Dieses Forum ist sowohl für ANFÄNGER als auch für PHP-Profis! Fragen zu Laravel, YII oder anderen PHP-Frameworks.

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #1 (permalink)  
Alt 27-02-2006, 00:50
DoubleJ2k
 Newbie
Links : Onlinestatus : DoubleJ2k ist offline
Registriert seit: Feb 2006
Beiträge: 10
DoubleJ2k ist zur Zeit noch ein unbeschriebenes Blatt
DoubleJ2k eine Nachricht über ICQ schicken
Standard Magic quotes für get/post/cookie aktivieren oder deaktivieren?

Eine Frage, die mich seit heute beschäftigt, wie schon lange nichts mehr

Soll ich magic_quotes_gpc aktivieren, d.h. PHP auf alle Benutzereingaben addslashes anweden lassen, oder deaktivieren, d.h. bei jeder Gelegenheit selbst die entspr. Funktion (addslashes, mysql_real_escape_string, htmlentities etc.) verwenden?

Prinzipiell macht magic_quotes_gpc das Leben ja einfacher, denn man kann alle Daten, die über _POST oder _GET reinkommen, "einfach so" z.B. in mysql queries einfügen.

Ich frage mich aber, ob das die beste Lösung ist? Besonders besorgt bin ich eben wegen mysql queries, denn es gibt ja extra die Funktion mysql_real_escape_string() um seinen Code vor SQL-Injektionen zu schützen.

Bis jetzt mache ich es so: magic_quotes_gpc ist aktiviert, bei sql anfragen benutze ich erst stripslashes() und dann mysql_real_...().

Nun ist aber wiegesagt die Frage, ob ich magic_quotes_gpc nicht komplett deaktivieren soll. In den user comments im php manual liest man zu dem Thema auch total unterschiedliche Meinungen. Jedoch scheint die Meinung zu überwiegen, es zu deaktivieren.

Ich habe mir mal den phpBB Code angeschaut und dabei festgestellt, dass magic quotes, sofern nicht vorhanden, hinzugefügt werden. Ist das mit Verstand geplant oder nur ein Überrest aus der alten Zeit, wo eben noch mit automatischen magic quotes gearbeitet wurde?
Mit Zitat antworten
  #2 (permalink)  
Alt 27-02-2006, 01:12
goth
  Moderator
Links : Onlinestatus : goth ist offline
Registriert seit: Mar 2002
Ort: Erde
Beiträge: 7.279
goth ist zur Zeit noch ein unbeschriebenes Blatt
Standard Re: Magic quotes für get/post/cookie aktivieren oder deaktivieren?

Zitat:
Original geschrieben von DoubleJ2k
Ich habe mir mal den phpBB Code angeschaut und dabei festgestellt, dass magic quotes, sofern nicht vorhanden, hinzugefügt werden. Ist das mit Verstand geplant oder nur ein Überrest aus der alten Zeit, wo eben noch mit automatischen magic quotes gearbeitet wurde?
Ich persönlich halte das eher für Faulheit (genaugenommen für Blödheit). Letzlich sind diese Funktionen in PHP implementiert in der Annahme das die meisten Verwender Trottel sind und die Provider sich und Ihre Server schützen müsssen.

Dem Entwickler selbst bleibt nichts anderes übrig als auf den bestehenden Status entsprechend zu reagieren ... sonst hat man schnell mal ein paar Quotes zuviel in der Datenbank stehen.

Ich persönlich schleife sowohl in- als auch verschiedene outputs über entsprechende Klassen und gehe im Source davon aus das nix magic und nix gequoted ist ... so hält man tüchtig sie Sinne wach ... und weiss immer was man gerade macht ... zudem macht einen dieses Vorgehen tüchtig flexibel wenn mal irgendwo ein PHP-interner Fehler auftaucht ...
__________________
carpe noctem

Bitte keine Fragen per EMail ... im Forum haben alle was davon ... und ich beantworte EMail-Fragen von Foren-Mitgliedern in der Regel eh nicht!
Hinweis: Ich bin weder Mitglied noch Angestellter von ebiz-consult! Alles was ich hier von mir gebe tue ich in eigener Verantwortung!

Geändert von goth (27-02-2006 um 01:14 Uhr)
Mit Zitat antworten
  #3 (permalink)  
Alt 01-03-2006, 18:06
DoubleJ2k
 Newbie
Links : Onlinestatus : DoubleJ2k ist offline
Registriert seit: Feb 2006
Beiträge: 10
DoubleJ2k ist zur Zeit noch ein unbeschriebenes Blatt
DoubleJ2k eine Nachricht über ICQ schicken
Standard

Ok, das hat mich überzeugt bzw. in meiner Meinung gestärkt
Ab jetzt wird ohne magic_quotes_gpc programmiert...
Mit Zitat antworten
  #4 (permalink)  
Alt 01-03-2006, 23:21
goth
  Moderator
Links : Onlinestatus : goth ist offline
Registriert seit: Mar 2002
Ort: Erde
Beiträge: 7.279
goth ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Nicht ohne ... aber Unterberücksichtigung der Einstellungen so "normalisiert" als wenn ohne ... !
__________________
carpe noctem

Bitte keine Fragen per EMail ... im Forum haben alle was davon ... und ich beantworte EMail-Fragen von Foren-Mitgliedern in der Regel eh nicht!
Hinweis: Ich bin weder Mitglied noch Angestellter von ebiz-consult! Alles was ich hier von mir gebe tue ich in eigener Verantwortung!
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

Projektmanagement Damals und Heute
Projektmanagement Damals und HeuteWerfen Sie einen Blick auf das, was sich verändert hat, und entdecken Sie, wo die Zukunft dieses Gebietes hinsteuert.

18.01.2021 | Berni

Arbeitsmanagement-Tools
Arbeitsmanagement-ToolsWarum jedes Team Arbeitsmanagement-Tools benötigt. Man schätzt, dass 25% eines durchschnittlichen Mitarbeiter-Tages durch ineffiziente Arbeit vergeudet werden.

11.12.2020 | Berni


 

Aktuelle PHP Scripte

PHP Newsletter Script SuperWebMailer ansehen PHP Newsletter Script SuperWebMailer

Die webbasierte PHP Newsletter Software SuperWebMailer ist die optimale Lösung zur Durchführung eines erfolgreichen E-Mail-Marketings. Zur Nutzung des PHP Script-Pakets ist eine eigene Webpräsenz/Server mit PHP 5 oder neuer, MySQL 4 oder neuer und die

29.04.2021 mirko_swm | Kategorie: PHP/ Mail
OXID eShop

Mit OXID eshop bieten wir Ihnen eine modulare und skalierbare Internet Shopping Software mit einem hervorragenden Preis-/Leistungsverhältnis.

29.04.2021 eric.jankowfsky@ | Kategorie: PHP/ Shops
PHP-Login

Die Aufgabenstellung bestand darin, ein einfaches Login-Script zu erstellen, dass schnell und universell auf jeder Webseiten eingebaut werden kann. Der Schwerpunkt lag dabei auf der Entwicklung eines universell einsetzbarem Modul für den Login und zur

05.04.2021 Wallhalla | Kategorie: PHP/ Kundenverwaltung
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 06:30 Uhr.