|
|||
Mmagic Quotes - Sicherheitsfrage
Hallo Leute,
ich habe gerade gesehen das in der PHP.ini meiner Website die Option " magic_quotes_gpc" aktivierbar ist. Diese fügt ja anscheinend Backslashes vor Hochkommazeichen ein. Meine Frage: Sind meine PHP Script mit dieser Einstellung zu 100% vor einer SQL Injection geschützt und mysql_real_escape_string somit überflüssig? Würde mich mal interessieren |
Sponsored Links |
|
|||
Zitat:
Zitat:
Zunächst mal waren Maqic Quotes schon immer unzureichend, wenn es um Sicherheitsfragen geht, daher sind sie seit dem letzten großen PHP-Upgrade auch nicht mehr aktivierbar. Du musst selbst dafür sorgen, dass deine Daten immer korrekt escaped werden (d.h. immer auf die richtige Kodierung achten und dem Kontext entsprechende Funktionen verwenden). Also mysql_real_escape_string für MySQL-Statements und z.B. htmlspecialchars für XML und HTML.
__________________
Über Internet Explorer 8: Noch bis 8. April 2014 wird der Internet Explorer 6 mit Sicherheitsupdates versorgt. Bereits jetzt kann dieser Browser aber vollständig durch den IE8 ersetzt werden. Ältere Betriebssysteme und Browserversionen werden von Microsoft nicht mehr unterstützt. Auch Programme, die den IE7 benötigen, sind kein Argument gegen IE8, da dieser über entsprechende Kompatibilitätsschichten verfügt. Ab sofort gilt daher der Internet Explorer 8 als vorausgesetzer Mindeststandard. |
Sponsored Links |
|
|||
Danke für den Tipp gato! Werde ich mir merken.
Ich habe übrigens gerade mal nachgeschaut. Ich hatte PHP 5.2.13 genutzt - habe nun aber auf 5.3.8 (stable) gewechselt. Auch dort finde ich die Option "magic_quotes_gpc" noch. Hoffe diese Version ist nicht ebenfalls veraltet. |
|
|||
Aktuell sind 5.4.7 und 5.3.17. Magic Quotes wurden mit PHP 5.4 entfernt.
|
|
|||
Die Option wird aus Gründen der Rückwärtskompatibilität noch weiter unterstützt, allerdings kannst du Sie nicht mehr aktivieren.
|
Themen-Optionen | |
Ansicht | |
|
|
Ähnliche Themen | ||||
Thema | Autor | Forum | Antworten | Letzter Beitrag |
Sicherheitsfrage: Seitenaufruf mit Parameter in der URL | laborix | Serveradministration und serverseitige Scripte | 10 | 12.01.2011 09:44 |
Forumbenutzung: In Quotes hineinkommentieren | Krischu | Fragen, Konstruktive Kritik, Lob / Bekanntmachungen | 3 | 11.07.2007 09:48 |