Вы не зашли.
Все наверно знают про magic_quotes_gpc, тем более те. у кого есть на сайтах чаты типа бодр и т.п.
У меня просьба для тех кто знает про эти магиские скобки, подскажите где их надо писать и как правильно в .htaccess им можно поставить. И для чего они вообще нужны? Благодарю!
#2.
Admin
Off
(-1)
Administrator
2008.03.09 13:01
при включенной директиве, будут автоматически экранироваться следующие символы -
" ' \ NULL (NULL - нулевой байт) т.е. к ним добавится обратный слеш. Это нужно для безопасности при работе с БД. НО!!!
В корне не правильно обрабатывать эти символы через эту директиву, более того, в PHP6 она будет устранена. Собственно из-за нее во многом репутация PHP сильно пострадала. Я имею ввиду безопасность этого интерпретатора
. Следует обрабатывать перечисленные символы непосредстренно в коде, с помощью функции
mysql_escape_string. Если же нет возможности обработать все входящие данные, которые заносятся в БД, с помоью этой функции, то как компросисс, подчеркиваю, как компромисс, можно включить
magic_quotes_gpc в .htaccess Делается это следующим образом.
Код:
php_flag magic_quotes_gpc On |
сердце пронзенное ветром
А не подскажешь, может есть другие варианты, вместо прописывания php_flag magic_quotes_gpc On именно в .htaccess? Может можно по другому как-то?
#4.
Admin
Off
(-1)
Administrator
2008.03.09 13:01
в php.ini еще. или как я сказал обрабатывать все через mysql_escape_string
сердце пронзенное ветром
Вот так у меня в php.ini
Код:
; This directive is deprecated. Use variables_order instead. |
gpc_order = "GPC" |
|
; Magic quotes |
; |
|
; Magic quotes for incoming GET/POST/Cookie data. |
magic_quotes_gpc = On |
|
; Magic quotes for runtime-generated data, e.g. data from SQL, from exec(), etc. |
magic_quotes_runtime = Off |
|
; Use Sybase-style magic quotes (escape ' with '' instead of \'). |
magic_quotes_sybase = Off |
|
; Automatically add files before or after any PHP document. |
auto_prepend_file = |
auto_append_file = |
я так понял не все скобки включены, может их тоже вкл?
#6.
Admin
Off
(-1)
Administrator
2008.03.09 13:01
http://php.su/functions/?cat=infoнет, так и должно быть как бы...
magic_quotes_gpc boolean
Устанавливает magic_quotes состояние для GPC (Get/Post/Cookie) операций. Когда magic_quotes включено (on), все ' (одиночные кавычки), " (двойные кавычки), \ (обратные слэши) и нулевые значения (NUL's) записываются с обратной косой чертой автоматически. Если также включено magic_quotes_sybase, одиночная кавычка записывается с дополнительной одиночной кавычкой вместо обратной косой черты.
magic_quotes_runtime boolean
Если magic_quotes_runtime разрешено, большинство функций, которые возвращают данные из любого внешнего источника разной природы, включая базы данных и текстовые файлы, будут иметь кавычки, записанные с обратной косой чертой. Если magic_quotes_sybase также включены, одиночная кавычка записывается с дополнительной одиночной кавычкой вместо обратной косой черты.
magic_quotes_sybase boolean
Если magic_quotes_sybase также разрешено, одиночная кавычка записывается с дополнительной одиночной кавычкой вместо обратной косой черты, если magic_quotes_gpc или magic_quotes_runtime разрешены.
сердце пронзенное ветром
Короче у хвостинг тупой или что я не пойму сам. Но ника нельзя вкл. эти скобки. Ты говорил как-то можно через mysql_escape_string...
#8.
Admin
Off
(-1)
Administrator
2008.03.09 14:02
они у тебя включены!!!!
сердце пронзенное ветром
а как тогда у меня чат поломали я не пойму, если скобки были включены? один известный админ сказал что надо скобки вкл и все будет ок!
#10.
Admin
Off
(-1)
Administrator
2008.03.09 14:02
бло, по твоему это единственная уязвимость??? и все ок точно не будет)
сердце пронзенное ветром
Гг. Кстати. Тут почитал. Написано взамен mysql_escape_string использовать mysql_real_escape_string.
Стране нужны автобусы!
#12.
Admin
Off
(-1)
Administrator
2008.03.10 09:09
Да, наверное. Я просто привык к mysql_escape_string. Надо переучиваться)
сердце пронзенное ветром