[GELÖST] Sinn von get_magic_quotes

[j-l-n]

In einem älteren Skript eines Bekannten habe ich folgende Stelle gefunden

if (isset( $_POST['submitteddata'] ))
{
	if (get_magic_quotes_gpc())
	{
		$_POST = array_map( 'stripslashes', $_POST );
	}
...

Was ist der Sinn dieser "geht_magic_quotes"? Sind sie noch aktuell/sicher? Braucht man diese, z.b. aus Sicherheitsaspekten?
Ich habe herausgefunden, dass das irgendetwas mit "maskierenden Slashes" zu tun hat. Das wäre doch z.B. so etwas: echo"<a href=\"link\">";

 

[kkapsner]

magic quotes sind ein veraltetes "Feature" von PHP, bei dem jede Eingabe vom Nutzer (also per $_POST, $_GET oder $_COOKIE) "maskiert" wird. Leider haben sich viele dadurch sicher vor Injections gefühlt, was sie aber nicht waren.

Das get_magic_quotes_gpc() überprüft einfach, ob dieses "Feature" aktiv ist und macht den Effekt rückgängig.

Wenn du einen neue PHP-Instanz aufsetzt solltest du darauf achten, dass die magic quotes deaktiviert sind und dass du deine Nutzereingaben vor Verwendung validierst und/oder entsprechend des Einsatzgebietes maskierst/escapest.

 

[j-l-n]

Danke für deine ausführliche Antwort, damit hast du alle meine Fragen geklärt. Eins noch: Wenn ich PHP 5.4 (neu aufgesetzt) am laufen habe, kann ich doch eigentlich den Teil aus dem Skript rauslöschen, oder?

 

[kkapsner]

Solltest du können... aber es stört auch nicht wirklich...

 

[j-l-n]

Gut, danke nochmal!

 

[kkapsner]

Bitte - gern geschene.

PS: hab's auf "gelöst" gestellt...

 

[j-l-n]

PS: hab's auf "gelöst" gestellt...

Danke, wollte ich ohnehin darum bitten.