Modo discussione | Modo lineare

Gandalf · 21-04-2010, 17:43

Ora dovrebbero essere disattivati...
Puoi confermare?

zawardo · 21-04-2010, 17:45

(21-04-2010 17:43)Gandalf Ha scritto: : https://www.web4web.it/forum/post-1794.html#pid1794Ora dovrebbero essere disattivati...
Puoi confermare?

si, grazie mille (in realtà ci avevo guardato una mezz'oretta fa ed era tutto ok)

Gandalf · 21-04-2010, 17:48

Si, ma stavo facendo anche altre variazioni.
Ora dovrebbe essere una soluzione definitiva.

zawardo · 21-04-2010, 17:49

(21-04-2010 17:48)Gandalf Ha scritto: : https://www.web4web.it/forum/post-1796.html#pid1796Si, ma stavo facendo anche altre variazioni.
Ora dovrebbe essere una soluzione definitiva.

magic_quotes_gpc Off Off
magic_quotes_runtime Off Off
magic_quotes_sybase Off Off

ricontrollato ora Smile

arrigrazie

Alex · 05-06-2010, 12:03

Visto che si è toccato l'argomento, come mai questa funzionalità è stata deprecata? Considerato che un atto di disattenzione nel passare un valore a una query può essere commesso facilmente, mi sembrava una buona idea.. sempre meglio trovarsi un \ in mezzo al testo che un attacco di SQL-Injection, no?

E io che ho riempito i miei siti di cose del tipo
$value = trim((get_magic_quotes_gpc())? $_POST['var'] : addslashes($_POST['var'])); Cool3

PHP fa troppi cambiamenti per i miei gusti a ogni versione! Sleepy

Gandalf · 05-06-2010, 12:06

Be, credo che questo mastodontico warning sia abbastanza esplicativo:
http://php.net/manual/en/security.magicquotes.php

Solitamente si cerca di scrivere script per bene, proteggendosi in autonomo da sql injection, piuttosto che fare affidamento solo sulla configurazione dei server, anche per questioni di portabilità. Non tutti i server son configurati uguali, se un giorno dovessi trasferire il sito, rischieresti di dover mettere mano a tutto il codice perchè nel nuovo server magari manga un particolare settaggio.

Alex · 05-06-2010, 12:42

Si si, certo, semplicemente era una cosa utile per rimediare a dimenticanze. In effetti inizialmente mi ha causato diversi grattacapi, dato che non sapevo della sua esistenza e mi sono trovato con siti che facevano un doppio escape. Poi mi sono arrangiato con controlli come quello che ho riportato su, sia per aggiungere che per togliere gli escape. PHP ha sempre sofferto un pochino di differenze di configurazioni ed è una cosa che credo non gradisca nessuno, speriamo che in futuro ci pensino prima, invece di fare mille cambiamenti dopo!

zawardo · 05-06-2010, 14:12

Il magic quotes è un 'eredità di php4. Sul 5 era già fortemente sconsigliato e si sapeva da anni sarebbe stato deprecato.
Putroppo php si porta dietro ancora tantissime cose delle versioni precedenti assolutamente indecenti per un linguaggio che di fatto è diffusissimo (tra cui c'era il magic quotes).
Piano piano si migliora (già php 5.3.x fa diversi passi nella direzione giusta), php6 sarà meglio e così via. Si va piano, ma almeno si va nella direzione giusta Tongue

Per le tue query se non usi un framework o cmq un orm, ti consiglio di usare il pdo che è nativo su php5 da parecchio e direi ogni hosting offre (con i driver dei dbms che supporta); con quello puoi preparare gli statement e fare il binding delle variabili, evitando tutti i problemi (ed avvicinandoti ad una programmazione un filino + strutturata).

Chris · 21-06-2011, 14:02

Scusate se ripesco fuori questo vecchio thread, ma i magic quotes su X3 sono tutt'ora On.
Visto che sono disattivati sugli altri server, si tratta di una semplice dimenticanza o c'è qualche ragione che ignoro?

Grazie!

Gandalf · 21-06-2011, 14:11

Prova ora.

Altri utenti che stanno visualizzando questa discussione
1 utente stanno visualizzando questa discussione: (0 membri, e 1 visitatore).