hallo Sven,

Zunächst mal: Quoting gibts ja nicht umsonst, sondern es erfordert eine gewisse Anzahl an CPU-Zyklen.

Das ist richtig.

Das wäre also der materielle Schaden.

Wieso "materieller Schaden"? CPU-Beanspruchung bei einem Provider kann natürlich gemessen werden. Und der Provider verrechnet das selbstverstandlich mit seinem Angebot.

Außerdem muß man dieses Escaping zwingend rückgängig machen

Was ist nun der Unterschied zwischen "quoting" und "escaping"?

Dann: Das magic_quotes_gpc erzeugt leider nur ein sehr generisches Quoting

Einverstanden

, dass

<fußnote privat>
'tschuldigung, aber _hier_ kann ich nicht anders: wieso kannst du nicht mehr zwischen "das" und "dass" unterscheiden? Wir erleben es dutzendemale jeden Tag, daß es die "next generation" wirklich nicht mehr kann, weil sie von diversen Rechtschreibreformen während ihrer Schulzeit erheblich verunsichert wurde. Aber du bist nicht "next generation", sondern (gerade mal noch so) "my generation" und solltest zwischen "das" und "dass" unterscheiden können.
</fußnote privat>

gefährlicherweise für alle Aufgaben nur halb paßt.

Genau _das_ war meine Frage. Deine Erläuterung reicht mir nicht aus und wäre vermutlich auch im Sinn anderer Forumsleser noch zu vervollkommnen.

Dummerweise kennen dies aber nur darüber informierte Programmierer.

Ich weiß nicht, was ein "informierter Programmierer" für ein Typ ist. Ich selber verfüge mittlerweile über mehrere Jahre Übung, würde mich aber niemals als "Programmierer" oder gar "geübten Programmierer" bezeichnen. Du weißt doch: je mehr man von der Materie tatsächlich versteht und je mehr man geübt hat, desto mehr weiß man auch, was man eben noch nicht weiß - was du darzustellen versuchst (sofern ich es denn richtig kapiert habe), war mir aber schon vor einem Jahr bekannt, als ich aufgrund von Fehlermeldungen eben an "magic_quotas" herumzufummeln begonnen habe. Und um es deutlich auszusagen: ich bin keineswegs überzeugt, damit ein generell gültiges Konzept gefunden zu haben. Ich bekam lediglich deutlich weniger Fehlermeldungen, nachdem ich eben an den "magic_quotas" herumgemurkelt hatte.

Das Resultat der Funktion addslashes(), welche von magic_quotes_gpc angewandt wird, sieht ohne genaues Hinsehen sehr ähnlich aus, wie die Resultate spezialisierter Escaping-Funktionen. Das Problem liegt aber gerade in den Zeichen, bei denen das Escaping abweicht, wodurch eventuell unerwünschter Code eingeschleppt werden kann.

Dieser Hinweis ist allerdings wichtig.

Mit anderen Worten: Man muß sich explizit mit dem Rückgängigmachen der magic_quotes herumschlagen, weil man auf spezialisiertes Escaping nicht verzichten kann. Also haut man entweder ein Unescaping-Modul rein, oder deaktiviert die magic_quotes_gpc.

Aber diesem Hinweis resp. dieser Schlußfolgerung kann ich mich leider nicht wirklich anschließen.

Grüße aus Berlin

Christoph S.