Seite 1 von 1
Formular und get_magic_quotes_gpc
Verfasst: 07.09.2010, 20:16
von JoBre
Ich habe eine Formular und möchte die Dateneingaben vor dem Speichern in der Datenbank gegen Missbrauch absichern. Dazu habe ich eine Menge gelesen und dann schließlich diesen Code in mein Formular eingebaut:
Code: Alles auswählen
$_POST = get_magic_quotes_gpc() ? array_map( 'stripslashes', $_POST ) : $_POST;
Nun will ich es testen. Mir ist aber noch nicht ganz klar, welche maskierenden Slashes damit entfernt werden. Ist damit jeder Slash oder Backslash gemeint? Oder was genau wird damit verhindert?
Verfasst:
von
SEO Consulting bei
ABAKUS Internet Marketing Erfahrung seit 2002
- persönliche Betreuung
- individuelle Beratung
- kompetente Umsetzung
Jetzt anfragen:
0511 / 300325-0.
Verfasst: 08.09.2010, 00:31
von chris21
Also,
das sieht danach aus, dass die Slashes entfernt werden sollen, damit zudann mysqli_real_escape_string angewendet werden kann.
Sollte dieser zweite Schritt fehlen wäre der Einsatz grob fahrlässig, da diese tenäre Operator gerade die "leichte" Schutzfunktion von magic_quotes_gpc aushebelt...
Stripslashes entfernt keine Slashes sondern Backslashes, aber jeweils nur einen.
D.h. aus "\" wird "", aus "\\" wird "\".
In der Regel wird dies als Vorbereitung für den Einsatz von mysqli_real_escape_string() verwendet, da jene Funktion wesentlich mehr Sicherheit bringt als magic_quotes_gpc().
