Formular und get_magic_quotes_gpc

Beitrag von **JoBre** » 07.09.2010, 20:16

Ich habe eine Formular und möchte die Dateneingaben vor dem Speichern in der Datenbank gegen Missbrauch absichern. Dazu habe ich eine Menge gelesen und dann schließlich diesen Code in mein Formular eingebaut:

Code: Alles auswählen

	$_POST = get_magic_quotes_gpc&#40;&#41; ? array_map&#40; 'stripslashes', $_POST &#41; &#58; $_POST;

Nun will ich es testen. Mir ist aber noch nicht ganz klar, welche maskierenden Slashes damit entfernt werden. Ist damit jeder Slash oder Backslash gemeint? Oder was genau wird damit verhindert?

von **Anzeige von ABAKUS** »

Beitrag von **chris21** » 08.09.2010, 00:31

Also,

das sieht danach aus, dass die Slashes entfernt werden sollen, damit zudann mysqli_real_escape_string angewendet werden kann.

Sollte dieser zweite Schritt fehlen wäre der Einsatz grob fahrlässig, da diese tenäre Operator gerade die "leichte" Schutzfunktion von magic_quotes_gpc aushebelt...

Stripslashes entfernt keine Slashes sondern Backslashes, aber jeweils nur einen.

D.h. aus "\" wird "", aus "\\" wird "\".

In der Regel wird dies als Vorbereitung für den Einsatz von mysqli_real_escape_string() verwendet, da jene Funktion wesentlich mehr Sicherheit bringt als magic_quotes_gpc().