2010-01-17T13:37:10
lichtkindich bin in php nicht so sattelfest, welches ist denn der lustige nebeneffekt?
magic_quotes_gpc maskieren in $_GET $_POST und $_COOKIE (gpc) alle Zeichen, die man für eine MySQL-Injection brauchen könnte. Das wurde laut den PHP-Machern eingeführt, um unerfahrenen Programmierern etwas Sicherheit zu geben bzw. deren Code abzusichern.
Der Schuß ging nach hinten los. Da es ja sicher war hat sich keiner nen Kopf drum gemacht.
Was ich bislang an PHP-Code gesehen habe ist ohne magic_quotes ein offenes Scheunentor.
Es ist nicht ganz soooo tragisch, man kann $_GET $_POST $_COOKIE überschreiben, sprich beim Programmstart abfangen, säubern und erst dann auf den Code loslassen. Die Frage ist, wer wird das bei den etlichen Scripten die im Umlauf sind und teilweise schon lange nicht mehr weiterentwickelt werden tuen, welcher Hobby-Webseitenbetreiber wird es wissen und updaten?
Daher sehe ich ein lustiges Durcheinander kommen da die Scriptkiddys es wissen und "updaten" werden.
Last edited: 2010-01-18 10:54:03 +0100 (CET)