Pourquoi $_POST variables arriver échappé en PHP?

Quand mon script PHP reçoit des données via une requête AJAX POST, la $_POST variables sont échappés. Vraiment étrange, c'est que cela ne se produit que sur mon serveur de production (exécution de PHP 5.2.12 sur Linux) et non pas sur mon serveur local (l'exécution de PHP 5.3.1 sur Windows).

Voici le code AJAX:

var pageRequest = false;
if(window.XMLHttpRequest)     pageRequest = new XMLHttpRequest();
else if(window.ActiveXObject) pageRequest = new ActiveXObject("Microsoft.XMLHTTP");

pageRequest.onreadystatechange = function() { }

var q_str = 'data=' + " ' ";

pageRequest.open('POST','unnamed_page.php',true);

pageRequest.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
pageRequest.setRequestHeader("Content-length", q_str.length);
pageRequest.setRequestHeader("Connection", "close");

pageRequest.send(q_str);

Est-il une raison à ce qui se passe? Et comment dois-je résoudre ce problème afin qu'il fonctionne sur les deux serveurs?

Edit: j'ai les paramètres suivants pour les magic_quotes:

                     Local   Master

magic_quotes_gpc     On      On
magic_quotes_runtime Off     Off
magic_quotes_sybase  Off     Off
InformationsquelleAutor Nathan Osman | 2010-03-22
  1. 64

    Vous avez probablement magic quotes activé sur le serveur Linux: magic_quotes

    Quand magic_quotes sont à, tous "(guillemet simple), " (guillemets doubles), \ (barre oblique inverse) et NUL sont échappés avec une barre oblique inverse automatiquement.

    Ils sont une bonne chose pour le désactiver, car ils vont être supprimés à partir de PHP 6 à partir de toute façon. Vous devez également être en mesure de les désactiver à l'intérieur de votre script: set-magic-quotes-runtime Vous ne pouvez pas désactiver la partie de magic_quotes responsable pour échapper à publier des données au cours de l'exécution. Si vous pouvez le désactiver en php.ini. Si vous ne pouvez pas faire cela, faire une vérification si les magic_quotes sont activées, et de faire un stripslashes() sur tout contenu que vous extraire de POSTE:

    if (get_magic_quotes_gpc())  
 $my_post_var = stripslashes($_POST["my_post_var"]);
    • Et cela ne va pas casser mon serveur local? Veux juste m'assurer que je reçois ce...
    • si vous ne le chèque comme décrit, il fonctionnera avec votre serveur local, parce que get_magic_quotes_gpc() retournera false là, et pas de barres obliques sera dépouillé. L'essayer, faire un test de sortie de la fonction. Mais la meilleure chose serait vraiment pour désactiver les magic quotes sur la machine linux. Vous pouvez faire un phpinfo(), il vous dira ce qui est permis et ce qui ne l'est pas.
    • c'était une mesure de sécurité pour empêcher les injections SQL automatiquement échapper les données pertinentes, avec des barres obliques. Pas une mauvaise idée en gros, mais il n'a jamais pris, et est finalement devenu juste une nuisance comme l'illustre bien votre cas.
    • C'est génial, sauf que je suis en train de faire mon propre échappement des injections MySQL, donc Joe's head devient Joe\'s head dans $_POST qui devient Joe\\\'s head dans la requête.
    • oui, la case ci-dessus est de s'assurer que les données sont dans le même état sur le local et le serveur distant: Sans barres obliques. (En théorie, on pourrait même le faire sur la variable POST directement, mais je suis toujours mal à l'aise avec l'écriture de $_POST.) Après cela, vous pouvez échapper à nouveau au contenu de votre coeur.
    • avez-vous besoin de bande des barres obliques dans la clé ainsi? Je ne demande parce que l'exemple dans le manuel PHP est-ce que. Il est toutefois peu probable que vous ayez $_POST avec les touches de caractères qui ont besoin de s'échapper (au moins dans mon expérience).
    • Je ne pense pas que cela aurait un sens dans la clé. Pouvez-vous poster un lien vers cet exemple?
    • href="http://www.php.net/manual/en/security.magicquotes.disabling.php" >php.net/manual/en/security.magicquotes.disabling.php (je suis peut-être mal lu le code, en revanche, il ne ressemble à rien, je n'avais jamais écrire).
    • aussi loin que je peux voir, il supprime uniquement la matrice de touches ci-dessous POST. Ceux qui semblent avoir besoin de traitement (nouveau pour moi). Le POSTE touches elles-mêmes ne le font pas.
    • Encore, il pourrait y avoir une touche avec un slash si quelqu'un avait particulièrement mauvais code. Comme $_POST['Groups\Categories']
    • ou $_POST["i wish I'd name keys better"]
    • J'ai toujours préféré les $_POST = array_map('stripslashes', $_POST);
    • J'adore ce site merci beaucoup
    • +1 Awesome solution.
    • c'est faux! il vide tous les sous-tableaux en $_POST !!!

    InformationsquelleAutor Pekka 웃
  2. 28

    Je ne pense pas que cela s'applique à votre cas, mais je viens d'avoir un problème similaire. J'était en train de charger une installation de WordPress avec un site afin que je puisse afficher les messages récents sur toutes les pages. Il s'avère WordPress échappe à tous les $_POST vars, peu importe ce que magic_quotes sont définis.

    Je le mentionne parce que c'était frustrant à comprendre et à googler pour une réponse m'a amené ici.

    Voici comment je l'ai corrigé dans mon cas:

    $temp_POST = $_POST;
require '../www/wp_dir/wp-load.php'; //loading wordpress
$_POST = $temp_POST;
    • Après 3 ans, c'est encore non fixée dans la note WP 3.7.
    • Peut-être que c'est une fonction et non un bug. Dans wp-settings.php la méthode wp_magic_quotes() est invoquée, qui est définie en wp-includes/load.php. Cette méthode permet de s'assurer que l'intérieur de WordPress, tous les paramètres sont indiqués, indépendamment des Magic Quotes.
    • Je pense à une description plus précise est "quelqu'un l'a voulu comme une fonction mais ne pense pas que des conséquences alors maintenant, c'est un bug pour d'autres personnes" Pourraient être facilement évitées par wordpress copie le POST vars, pour son propre usage, et puis y échapper il y, plutôt que de changer ce qui est fait dans le POST où rien en dehors de wordpress doit composer avec les changements.
    • sainte mère de jésus-christ peut vous être bénis @SyntaxError, Vous aurez une prospérité et une longue vie saine. PAS ENCORE FIXÉ DANS WORDPRESS 4.7 en 2017
    • ticket créé en vertu de l': core.trac.wordpress.org/ticket/40476#ticket
    • parler à un dev wp: `$myvar = wp_unslash( $_POST['variable'] ); $ou my_POST = wp_unslash( $_POST ); deux pas de travail dans mon cas, j'ai peur

    InformationsquelleAutor Syntax Error
  3. 9

    C'est un PHP "fonctionnalité", connue sous le Magic Quotes, qui a été déprécié en PHP 5.3, et retiré en PHP 5.4.

    Il est facile de désactiver le ridicule de nuisance en php.ini.

    InformationsquelleAutor Matchu
  4. 4

    Vous avez probablement magic quotes activé dans votre environnement de production. Inspecter phpinfo() de sortie.

    Vous pouvez exécuter l'ensemble de vos entrées par le biais de quelque chose comme cela pour dépouiller les citations:

            /* strip slashes from the string if magic quotes are on */
    static function strip_magic_slashes($str)
    {
            return get_magic_quotes_gpc() ? stripslashes($str) : $str;
    }
    • J'ai vérifié la fonction phpinfo(): bien sûr, il a été activée sur le serveur de production.
    InformationsquelleAutor BojanG
  5. 2

    Peut-être que votre serveur Linux php.ini a magic quotes sont activées.

    http://php.net/manual/en/security.magicquotes.php

    Ce qui est mauvais, bien sûr, que la fonction est obsolète et sera supprimée dans la prochaine PHP 6.

    Vous pouvez le désactiver en php.ini comme

    magic_quotes_gpc = Off

    Vous pouvez le tester et de le désactiver lors de l'exécution si vous ne pouvez pas accéder à votre php.ini

    <?php
if (get_magic_quotes_gpc()) {
    $process = array(&$_GET, &$_POST, &$_COOKIE, &$_REQUEST);
    while (list($key, $val) = each($process)) {
        foreach ($val as $k => $v) {
            unset($process[$key][$k]);
            if (is_array($v)) {
                $process[$key][stripslashes($k)] = $v;
                $process[] = &$process[$key][stripslashes($k)];
            } else {
                $process[$key][stripslashes($k)] = stripslashes($v);
            }
        }
    }
    unset($process);
}
?>

    De la Manuel PHP

    • Comment puis-je résoudre ce problème? Je ne peux pas modifier le php.ini sur le serveur de production.
    • Vérifiez le code de l'exemple, ou de cliquer sur le lien manuel pour plus de lecture.
    InformationsquelleAutor alex
  6. 2

    Je n'ai donc parler à un wordpress dev ( https://core.trac.wordpress.org/ticket/40476#ticket ) et il a dit:

    "Retour dans la journée, de nombreux il ya de nombreuses lunes, WordPress suivi aveuglément PHP en acceptant que l'ensemble de la superglobale valeurs doivent être revues à la baisse.
    PHP plus tard a fait une reprise sur l'idée de quelque chose de plus sain d'esprit que vous voyez aujourd'hui, mais le mal était fait, WordPress comme une application existait déjà depuis assez longtemps, et il y avait assez de les plugins et les thèmes en s'appuyant sur WordPress création d'un sain environnement unique WordPress aussi l'évolution des causerait des dommages irréparables à ceux des sites d'introduire des failles de sécurité, mutilation de contenu, et un tas d'autres choses amusantes.
    https://core.trac.wordpress.org/ticket/18322 est notre billet pour le suivi de cette et arriver à quelque chose de plus sain d'esprit - dans le court terme (et à plus long terme, nous devons demander que si vous êtes accédant à $_POST variables que vous le faites en tant que telle: $myvar = wp_unslash( $_POST['variable'] ); de sorte qu'un jour, nous serons en mesure d'avoir $_POST comme un unslashed tableau.

    concernant la réponse donnée ici:

    $temp_POST = $_POST; 
require '../www/wp_dir/wp-load.php'; 
$_POST = $temp_POST;

    S'il vous plaît ne pas le faire. Vous avez juste à vous ouvrir à des questions de sécurité, et des choses inattendues se produire à votre contenu où WordPress n'attendez les valeurs qui doivent être revues à la baisse.
    Au lieu de cela, utilisez simplement wp_unslash(), et si vous avez vraiment besoin d'une copie de $_POST pour fonctionner sur vous-même, faire en tant que tel: $my_POST = wp_unslash( $_POST );.

    Je dois également ajouter - je attendre de vous que vous êtes en train de faire cela parce que vous essayez d'utiliser une API de point de terminaison pour quelque chose, je lui conseillerais de commutation à l'aide de l'API REST introduit avec WordPress 4.7 au lieu de cela, car il nous permet d'offrir beaucoup plus d'expérience cohérente pour les développeurs.
    "

    InformationsquelleAutor Toskan