login  Naam:   Wachtwoord: 
Registreer je!
 Forum

magic_quotes_gpc is on toch addslashes???

Offline JLT - 02/06/2006 11:14 (laatste wijziging 02/06/2006 11:16)
Avatar van JLTPHP interesse Ik heb even op m'n server gekeken en de magic_quotes_gpc staat op ON! Moet ik nu nog steeds addslashes gebruiken bij query's???

Het is voor mij nog niet geheel duidelijk maar wil het wel graag veilig hebben 

Ik zag trouwens ook staan dat de "magic_quotes_runtime" en "magic_quotes_sybase" uit staan. Iemand enig idee wat ik hiervan moet vinden???

8 antwoorden

Gesponsorde links
Offline Thomas - 02/06/2006 11:21 (laatste wijziging 02/06/2006 11:22)
Avatar van Thomas Moderator Probeer het uit . Probeer een MySQL-injection-query uit te voeren. Ik denk in eerste instantie dat je geen addslashes meer hoeft te gebruiken, maar zeker weten doe ik dit niet. TEST het!

Wel lijkt het mij zinnig om alle (text- of numerieke-) invoer te controleren om te zien of het voldoet aan eisen die jij aan invoer stelt.

Ook lijkt het mij zinnig om magic_quotes_gpc gewoon uit te zetten, en zelf addslashes toe te voegen waar nodig. Zo heb je volledige controle of hoe je input afhandelt en ben je niet afhankelijk van (mogelijk afwijkende) serverinstellingen. Ook dacht ik dat magic_quotes_gpc ging verdwijnen, dus je kunt je, door niet uit te gaan van magic_quotes_gpc (en/of deze expliciet uit te zetten) op die manier ook vast voorbereiden op die verandering.
Offline JLT - 02/06/2006 15:40 (laatste wijziging 02/06/2006 15:45)
Avatar van JLT PHP interesse Okay maar hoe kan ik zoiets testen aangezien ik geen hacker (nee echt niet! ) Ik weet nouwelijks wat het inhoud dus laat staan dat ik het kan gebruiken om te kraken....

Dit is m'n authenticatie script ------------

  1. verwijderd


Citaat:
Rensjuh edit:
Regels 2.3:
voorzie het bericht eventueel van codefragmenten (géén lappen text)
Plaats de lappen code op plaatscode.be
Offline Vipergtsr - 02/06/2006 15:55 (laatste wijziging 02/06/2006 15:55)
Avatar van Vipergtsr Nieuw lid
  1. <?php
  2. function stripslashes_deep($value)
  3. {
  4. $value = is_array($value) ?
  5. array_map('stripslashes_deep', $value) :
  6. stripslashes($value);
  7. return $value;
  8. }
  9. $_POST = array_map('stripslashes_deep', $_POST);
  10. $_GET = array_map('stripslashes_deep', $_GET);
  11. $_COOKIE = array_map('stripslashes_deep', $_COOKIE);
  12. }
  13. ?>


Hiermee zet ge da af. Is een beetje handiger.
Offline kokx - 02/06/2006 16:08
Avatar van kokx Onbekend Omdat cookie geen arrays kan bevatten kun je dit:
  1. $_COOKIE = array_map('stripslashes_deep', $_COOKIE);

beter vervangen door dit:
  1. $_COOKIE = array_map('stripslashes', $_COOKIE);
Offline JLT - 03/06/2006 13:34
Avatar van JLT PHP interesse Hey Viper met dat stukje code zet ik dus eigenlijk de magic_quotes uit? Zodat ik daarna alles handmatig met addslashes kan verwerken zodat ik het allemaal zelf in controle heb. En ik dus ook weet wat ik aan het doen ben?

En dan natuurlijk even het Cookie verhaal vervangen zie ik 

Maar is het nu de bedoeling dat ik dat stukje script boven elke script zet. Of kan ik die ook in my function.lib.php mee laten draaien en deze gewoon overal met require oproepen?

Thanx alvast begin het eindelijk een beetje (let op een beetje) te snappen
Offline Button - 03/06/2006 14:00 (laatste wijziging 03/06/2006 14:35)
Avatar van Button PHP ver gevorderde je kan dat stukje code idd in een apart bestandje opslaan en vervolgens include
-> gebruik include_once() of require_once(), omdat je met functies te maken hebt, en twee keer dezelfde functies declareren mondt uit in een fout.

edit:http://www.sitemasters.be/?pagina=overzicht/overzicht&cat=32&id=3
Offline JLT - 04/06/2006 13:34
Avatar van JLT PHP interesse Okay! Dat van include_once is ook een goede tip. Ben nog duidelijk ene beginner haha... Maar nog even voor de zekerheid met dat stukje script schakel ik dus eigenlijk (met een omweg) de magic_quotes uit. Het voordeel is dan natuurljik wel weer dat als ik de website ooit verhuis naar een server waar deze functie NIET aan staat. Dit verder geen gevolgen heeft?

Alweer bedankt!!!
Offline nemesiskoen - 04/06/2006 17:19 (laatste wijziging 04/06/2006 17:19)
Avatar van nemesiskoen Gouden medaille

PHP expert
Het heeft verder geen gevolgen, en inderdaad: als magic_quotes_gpc niet aan staan dan worden er ook geen slashes toegevoegd.
Gesponsorde links
Dit onderwerp is gesloten.
Actieve forumberichten
© 2002-2024 Sitemasters.be - Regels - Laadtijd: 0.293s