Andavos: Magic quotes gpc

Beitrag lesen

Hallo,

UPDATE tabelle Set spalte = '' #' WHERE id = '1'

Das geht aber nur wenn magic_quest_gpc auf Off steht, wenn es auf On steht sieht es so aus:
UPDATE tabelle Set spalte = '' #' WHERE id = '1'

In Zeile 1 der Tabelle steht dann: ' #  <= Ausgabe von phpMyAdmin

Aber du hast recht, so kann man MySQL Injections machen, wenn es auf Off steht, darum will ich es ja Standardmäßig bei jedem auf On haben.

Wenn es auf On steht, kann man so _keine_ MySQL-Injection machen, denn es wird ja noch maskiert.

nein, das ist auch falsch, um Daten für einen Query zu entschärfen gibt es mysql_escape_string().

Dafür ist es jetzt auch zu spät :p
Aber viel mehr als addslashes() macht die Funktion auch nicht

magic_quotes_gpc ist dazu da, solche Dummheiten abzufangen, und nicht dazu sich darauf zu verlassen.

Als ich damit Angefangen habe den Script zu programmieren, wusste ich noch nicht das es die Einstellung gibt (man lernt mit der Zeit).
Aber in neueren Script benutze ich immer mysql_real_escape_string bzw. mylsq_escape_string.

Aber für den Script ist es zu spät (zuviele Zeilen mit zuvielen Post und Get Abfragen).

Das Wbb2.1.3 benutzt die Funktion addslashes() um die Abfragen zu "filtern".

Damit es nicht doppelt maskiert wird, werden $_POST-Abfragen per stripslashes() behandelt, wenn magic_quotes_gpc auf ON steht.

P.S. Sry für die Rechtschreinfehler, hab tierische Kopfschmerzen :/

MFG
Andavos