Magic Quotes
0 0 
dedlfix
0 Felix Riesterer
1 dedlfix
Magic Quotes
Moin,
bei einem $_POST werden alle " zu " maskiert.
Ich habe mir nach einigen Recherchen die komplette ini mal ausgeben lassen und denke das hier ist das Problem:
[magic_quotes_gpc] = Array (3) {
['global_value'] = "1" (string 1);
['local_value'] = "1" (string 1);
['access'] = "4" (integer 1);
};
Könnte man auch abschalten:
http://www.php.net/manual/en/security.magicquotes.disabling.php
Nur hab ich keinen Zugriff auf die php.ini.
Generell steht in der htaccess folgendes: AddHandler php53-cgi .php
Es wird also im cgi modus ausgeführt.
Idee für Lösungen?
Gibt es ein Workaround dafür?
Gruß
total gestresster
T-Rex
-
hi,
wenn dein provider die regulierung über die .htaccess erlaubt:
http://www.kavoir.com/2010/05/turn-off-and-disable-magic_quotes_gpc-in-htaccess.html
mfg
tami
-
hi,
wenn dein provider die regulierung über die .htaccess erlaubt:
http://www.kavoir.com/2010/05/turn-off-and-disable-magic_quotes_gpc-in-htaccess.html
mfg
tami
Ich befürchte fast nicht. Das hab ich eben schon ausprobiert, da hat sich nichts gerührt.
Aktuell hab ich "stripslashes" an einer Zentrallen Stelle (gut dass es die gibt :D) eingebaut. Die Optimallösung ist das aber nicht, da es auch systeme betrifft die von der Problematik nicht betroffen sind *seufz*.
Danke Tami
Gruß
dieser Post hat eine Menge "Tam-Tam"
T-Rex -
Tach!
wenn dein provider die regulierung über die .htaccess erlaubt:
Nicht bei CGI. Die .htaccess ist nur bei der Modulvariante interessant. Und die Modulvariante ist sicherheitstechnisch kein geeignetes Szenario für einen Hoster. (Bei der Modulvariante läuft alles unter demselben Benutzer (dem des Webservers). Bei (F)CGI kann man unter Verwendung von suEXEC jedem Kunden/Projekt einen separaten Nutzer zuweisen.)
dedlfix.
-
Hallo,
wenn dein provider die regulierung über die .htaccess erlaubt:
Nicht bei CGI. Die .htaccess ist nur bei der Modulvariante interessant. Und die Modulvariante ist sicherheitstechnisch kein geeignetes Szenario für einen Hoster. (Bei der Modulvariante läuft alles unter demselben Benutzer (dem des Webservers). Bei (F)CGI kann man unter Verwendung von suEXEC jedem Kunden/Projekt einen separaten Nutzer zuweisen.)
wie kann man denn herausfinden, ob PHP als CGI oder als MODUL läuft?
-
Tach!
wie kann man denn herausfinden, ob PHP als CGI oder als MODUL läuft?
Alle Informationen zu PHP bekommt man mit Aufruf der phpinfo(). Die Variante steht gleich im Kopf unter "Server API".
dedlfix.
-
-
-
-
Tach!
bei einem $_POST werden alle " zu " maskiert.
Könnte man auch abschalten:
http://www.php.net/manual/en/security.magicquotes.disabling.phpDa ist im zweiten Teil bereits die einzige Möglichkeit beschrieben, wenn du wirklich keinen Zugriff auf die php.ini hast.
Nur hab ich keinen Zugriff auf die php.ini.
Generell steht in der htaccess folgendes: AddHandler php53-cgi .php
Es wird also im cgi modus ausgeführt.Welche PHP-Version hast du denn? Ab PHP 5.3 gäbe es .user.ini.
Weiterhin ist mitunter bei einem CGI-Szenario das PHP so konfiguriert, dass es auch eine php.ini aus dem aktuellen Verzeichnis verwendet[*]. Diese ist dann allerdings die einzig gelesene. Wenn dein Provider irgendwas systemspezifisches konfiguriert hat, must du das aus der phpinfo()-Ausgabe entnehmen und auch in deiner php.ini eintragen, wenn es funktionieren soll.
[*] Das Verzeichnis, in dem das gestartete Script liegt. Wenn du Scripts aus Unterverzeichnissen startest (startest! inkludieren ist nicht betroffen), dann muss da auch eine php.ini liegen (Symlink reicht).
dedlfix.
-
Manchmal lache ich stunden lang über mich selbst... wie kann man nur so blöd sein. Da poste ich schon klugscheisserisch den link und bin unfähig alles zu lesen... so viele Stirne hab ich gar nicht zum dran klatschen.
Die user.ini funktioniert natürlich nicht, wäre auch zu schön.
Der Codeschnippsel hingegen funktioniert. Kostet jedoch einige Ressourcen, aber man kann halt nicht alles haben...Danke dedlfix
Gruß
der lesen lernende
T-Rex
-
-
Lieber T-Rex,
bei einem $_POST werden alle " zu " maskiert.
[...] Nur hab ich keinen Zugriff auf die php.ini.
[...] Idee für Lösungen?http://www.php.net/manual/en/security.magicquotes.whynot.php#99832
Liebe Grüße,
Felix Riesterer.
--
ie:% br:> fl:| va:) ls:[ fo:) rl:| n4:? de:> ss:| ch:? js:) mo:} zu:)-
Tach!
http://www.php.net/manual/en/security.magicquotes.whynot.php#99832
Das ist die (in wohl 99% der Fälle ausreichende) Billigvariante. Die berücksichtigt nur Slashes in den Values, nicht aber in den Keys. Die vollständige Variante ist eine Handbuchseite weiter zu finden: http://php.net/manual/en/security.magicquotes.disabling.php.
dedlfix.
-