“magic_quotes_gpc” ist auf vielen PHP-Systemen standardmäßig eingeschaltet. Das hat zu Folge, dass jeder Datensatz aus POST, GET, COOKIEautomatisch maskiert wird. Ein simples
echo $_POST[‘name’];
gibt z.B. aus:
Name: O\‘Reilly
stripslashes() wird empfohlen, um die Maskierungen zu entfernen, damit solche kaputten Ausgaben nicht passieren. Und das ist die Situation, die im Artikel beschrieben wird.
2 Kommentare
von brainman 20.09.2008 (14:11 Uhr) 1.
addslashes() / stripslashes() ist doch mehr für Schreib-/Lesezugriffe auf eine Datenbank gedacht, oder?
Für GET/POST Parameter gibt es andere Funktionen. urlencode() oder htmlentities() und verwandte Funktionen.
Deshalb verstehe ich den Sinn dieser Security-Meldung nicht ganz …
von erichth 22.09.2008 (21:50 Uhr) 2.
“magic_quotes_gpc” ist auf vielen PHP-Systemen standardmäßig eingeschaltet. Das hat zu Folge, dass jeder Datensatz aus POST, GET, COOKIE automatisch maskiert wird. Ein simples
echo $_POST[‘name’];
gibt z.B. aus:
Name: O\‘Reilly
stripslashes() wird empfohlen, um die Maskierungen zu entfernen, damit solche kaputten Ausgaben nicht passieren. Und das ist die Situation, die im Artikel beschrieben wird.