php 5.4 magic_quotes_gpc alternative?

J'ai été en utilisant php 5.2 plus tôt. Maintenant, je veux mettre à jour php 5.4. Magic quotes sont supprimés maintenant. Je veux que mon application fonctionne correctement. Quelle fonction je dois utiliser pour s'échapper de données mysql_real_escape_string() ou addslashes() ?

Qui fonctionnent à partir de ci-dessus vous donnera les mêmes résultats que de magic_quotes_gpc réglage??

  • Il dépend de la couche de base de données que votre application utilise. Il y a une bonne échapper la fonction pour chaque base de données de la bibliothèque.
  • Est-ce que votre application s'appuient sur magic_quotes_gpc? ce qui est une très mauvaise idée.
  • Oui xdazz. Il est. Elle est très ancienne application et j'ai pour le faire fonctionner.
  • Je n'utilise aucune base de données de la couche qu'elle est très ancienne application et je suis en utilisant les fonctions de mysql.
  • Si votre couche de base de données est mysql_* alors
  • Oui, nous utilisons mysql_* fonctions de mysql interaction.
  • mysql_real_escape_string() est mieux que addslashes(), qui filtre le plus de caractères illégaux. Si vous êtes à la manipulation du code legacy, vous pouvez utiliser php-magic-quotes pour mettre en œuvre magic_quotes_gpc.

InformationsquelleAutor Tanu Gupta | 2013-06-19
  1. 1

    De son mieux pour utiliser des requêtes préparées, comme l'a suggéré ici pour des raisons de sécurité. Mysql_real_escape_string pourrait ne pas être suffiecient à prévenir l'injection sql par exemple, parce que les jeux de caractères multi-octets peuvent être victimes de violence en dépit de la fonction d'échappement ().mysql_real_escape_string() par rapport à des Déclarations Préparées à l'avance.

    Préparées en PHP peut être utilisé comme ceci:

      $stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (?, ?)");
  $stmt->bindParam(1, $name);
  $stmt->bindParam(2, $value);

    Plus d'informations sur les instructions préparées en PHP. Donc en conclusion, si vous avez la possibilité de modifier votre demande de déclarations préparées à l'avance, ce serait la meilleure façon de le gérer.

    Mise à JOUR (totalement non recommandé)

    Si vous voulez vraiment garder à l'état, utiliser addslashes() pour chaque $GET et $variable POST. Il fait la même manuellement ce que magic_quotes allumé l'a fait avec tous les $GET et $variables POST. Mais j'ai vraiment suppose que c'est moins de travail pour utiliser mysqli avec mysqli_real_escape_string ou mieux préparées 🙂

    http://php.net/manual/de/function.addslashes.php

    • Il est vieux de demande alex. et je ne suis pas en utilisant PDO dans cette application. Je n'ai qu'à le faire fonctionner jusqu'à ce que j'ai mise à niveau de certains db couche.
    • L'est-il possible pour vous d'utiliser mysqli php.net/manual/en/mysqli.real-escape-string.php ? Il garde le jeu de caractères question à l'esprit.
    • Merci alex. Cant modifier le code à ce niveau comme une grosse application. juste besoin d'une solution rapide qui peut me donner le même résultat que magic_quotes_gpc paramètre donne.
    • ok, regarde ma mise à jour ci-dessus
    InformationsquelleAutor alex
  2. 2

    Il est toujours préférable de migrer vers PDO et les requêtes préparées comme indiqué par @alex ci-dessus.

    Si ce n'est pas faisable, absolument échapper entrant des données de chaîne avec mysql_real_escape_string(), et de valider les données de nombre entier, par exemple à l'aide de filter_input() comme indiqué dans cette réponse.

    addslashes() ne convient pas à s'échapper de la méthode pour les requêtes mySQL.

    • Je veux juste une fonction qui peut me donner les mêmes résultats que j'obtiens quand magic_quotes_gpc réglage est sur. Je ne peux pas modifier ma db couche. Je veux juste une solution rapide qui sert juste à la fin et m'aide à faire mon application fonctionne correctement. Je pense que addslashes() est la résolution de l'objectif parce qu'il échappe guillemet simple ('), guillemet double ( " ), (barre oblique inverse) et NUL (l'octet NUL), tout comme magic quotes faire.
    • addslashes() n'est pas suffisant pour sécuriser les données entrantes; il n'est pas parfait à 100% de protection. mysql_real_escape_string() est le chemin à parcourir. C'est juste un choix différent de fonctions, n'est-ce pas?
    • En fait j'ai juste besoin d'une alternative qui est plus proche de magic_quotes_gpc. mysql_real_escape_string() échappe \x00, \n, \r, \, ', " et \x1a. J'aurais besoin de faire ma demande testé à fond si j'utilise mysql_real_escape_string() et de son une grosse application et je veux réduire mon test d'effort. Des Suggestions??
    • ces caractères seront échappés uniquement pour la durée de la requête; les barres obliques, ne sera pas dans les données finales. Je ne vois pas comment cela aurait nécessité de nombreux essais.
    • Comme je l'ai dit sa très ancienne application, j'ai quelques scripts où je reçois les données de la db et de supprimer les caractères d'échappement à l'aide de quelques personnalisé/ pré-défini les fonctions.
    InformationsquelleAutor Pekka 웃
  3. 1

    Parce que je ne peux pas introduire db couche sur mon application et je veux une solution rapide, j'ai utilisé addslashes() parce que la fonction addslashes() échappe à la simple quote ('), guillemet double ( " ), (barre oblique inverse) et NUL (l'octet NUL) exactement ce que magic quotes échapper.

    Code:

        foreach (array('_COOKIE','_GET', '_POST') as $_SG) {
            foreach ($$_SG as $_SGK => $_SGV) {
                    $$_SGK = smartQuotes($_SGV);
            }
    }


    function smartQuotes($value)
    {
            if( is_array($value) ) {
                    return array_map("smartQuotes", $value);
            } else {
                    if( $value == '' ) {
                            $value = 'NULL';
                    } if( !is_numeric($value)) {
                            $value = addslashes($value);
                    }
                    return $value;
            }
    }
    • Cela laissera votre application vulnérable dans certaines circonstances: Exemples d'Injections SQL par le biais de addslashes()?
    • Vrai. Jusqu'à ce que je passer à PDO, c'est une solution rapide pour moi.
    • $$_SGK = smartQuotes($_SGV); non seulement ajoute des barres obliques, mais aussi affecte la valeur d'une variable globale au lieu de $_GET,$_POST, etc, ... comme "register_globals" qui servent à faire il y a 10 ans. Utilisation ${$_SG}[$_SGK] = smartQuotes($_SGV); au lieu de changer le gpc globals.
    • .. ne pas oublier de $_REQUEST (si vous changez les valeurs en place)
    InformationsquelleAutor Tanu Gupta
  4. 0

    addslashes() donne les mêmes résultats que de magic_quotes_gpc réglage de la référence de Magic Quotes.

    Quand sur le, tous "(guillemet simple), " (guillemets doubles), \ (barre oblique inverse) et les caractères NULL sont échappés avec une barre oblique inverse automatiquement. C'est identique à ce que l' addslashes() n'.

    Utilisation magic_quotes_gpc sur PHP 5.4 ci-dessus

    Si vous souhaitez exécuter magic_quotes_gpc sur PHP 5.4 ou une version supérieure pour votre héritage, code, vous pouvez utiliser yidas/magic-quotes:

    https://github.com/yidas/php-magic-quotes

    InformationsquelleAutor Nick Tsai
  5. 0

    Nous avons besoin de addslashes dans la Demande, la Poste, Obtenir des & biscuits. Vous pouvez obtenir ce code ci-dessous. Inclus code ci-dessous dans votre fichier commun . 

    $la_magicQuotes = array('_REQUEST','_POST', '_GET','_COOKIE');
  foreach($la_magicQuotes as $la_superGlobal )
  { 
    if($$la_superGlobal && is_array($$la_superGlobal))    
      array_walk($$la_superGlobal, 'pr_addslashed_array');
  }


function pr_addslashed_array(&$la_val,$lc_key) 
{  
  if (is_array($la_val))
    array_walk($la_val,'pr_addslashed_array');
  else
    $la_val = pr_addslashed($la_val);   
}

function pr_addslashed($lc_string)
{
  return $lc_string = addslashes($lc_string);   
}
    InformationsquelleAutor pilathraj