Magic_Quotes

[BruceCompanys]

Moin,

profane Frage:

Ich suche nen schönen Script womit ich magic_quotes knebeln kann ohne großartig die Performance zu drücken...

geht da einer Funktionen Scripte etc...

mfg

[BenniG.]

Ich benutze in letzer Zeit immer leben_mit_unguten_einstellungen siehe http://www.phpforum.de/forum/showtop...168970627.html
(nicht vergessen die Helper-Funktion mit zu kopieren)

Damit hast du magic_quotes und register_globals rückgängig gemacht.
Zusätzlich wird magic_quotes_runtime ausgeschaltet..

[feuervogel]

wie wärs mit: grundsätzlich alles verbieten, aber mit MDB2::quoteSmart() arbeiten?

[BenniG.]

Was meinst du mit "grundsätzlich alles verbieten"?

[feuervogel]

Zitat:

Zitat von BenniG.

Was meinst du mit "grundsätzlich alles verbieten"?

naja, jedwedes automatisches escapen, dass php vornehmen könnte.

[BruceCompanys]

ok, danke...

mal ne frage...

wofür gibts die dann denn???
man hat doch addslashes!!!

[BenniG.]

magic_quotes gibts um die doofen Programmierer zu schützen ;)
Eigentlich ne gute Idee, aber dann doch wieder nicht.. Damit wird SQL-Injection verhindert (auch wenn der Programmierer keine Ahnung davon hat). Allerdings ist das andererseits totaler Käse, weil die Strings dann so sind wie man sie in einer Datenbankabfrage braucht. Wenn du die Angaben nochmal als HTML ausgeben willst, sind sie schon falsch maskiert, da müsstest du jedesmal wieder stripslashes machen..
Also ich mag magic_quotes garnicht, lieber ausschalten (oder per leben_mit_unguten_einstellungen rückgängig machen) und dann drauf achten, dass man alles passend maskiert.. html-code muss anders "maskiert" werden als Datenbankabfragen..

[xabbuh]

Zudem bedacht werden muss, dass addslashes() im Gegensatz zu mysql_real_escape_string() nicht den Zeichensatz der MySQL-Verbindung berücksichtigt.

[BruceCompanys]

Danke...

Ihr habt mir geholfen meiner kleine Doofheit ein Stück Intelligenz gegeben!
*gg*

Ich werd die töten und ab jetzt für mysql mysql_real_escape_string benutzen!