PHP статьи и уроки
Приветствую Вас, Гость!

Меню
Интересное:
Реклама:
Смотрю "Записки о MacBook и Mac OS", в блоге gamedev программиста.
Главная » Статьи » Уроки » Безопасность сайта

'Волшебные Кавычки' (Magic Quotes)

"Волшебные Кавычки" (Magic Quotes) - это процесс, который позволяет автоматически экранировать входные данные PHP скрипта. Данный принцип позволяет экранировать внешние данные, приходящие в PHP скрипт во время его выполнения.

Что представляют собой "Волшебные Кавычки"?

Когда "Волшебные Кавычки" включены (активизированы), все ' (одиночные кавычки), " (двойные кавычки), \ (левый слэш) и NULL знаки автоматически экранируются левыми слэшами (\). Данный принцип аналогичен действию функции addslashes().

Существуют три директивы "Волшебных Кавычек":

  • magic_quotes_gpc

    Затрагивает данные запросов HTTP (GET, POST, и COOKIE). Не может быть установлена в процессе работы PHP скрипта и установлена в on по умолчанию.

    Смотрите также описание функции get_magic_quotes_gpc().

  • magic_quotes_runtime

    Если данная директива включена (on), большинство функций, которые возвращают данные из внешнего источника, включая базы данных и текстовые файлы, будут экранировать данные левыми слэшами (\). Может быть установлена во время выполнения PHP скрипта. По умолчанию директива установлена в off.

    Смотрите описание функций set_magic_quotes_runtime() и get_magic_quotes_runtime().

  • magic_quotes_sybase

    Если данная директива включена (on), одиночные кавычки экранируются двойными кавычками, вместо левых слэшей (\). Причем если данная директива установлена в on, это полностью отменяет установку директивы magic_quotes_gpc. Включение (on) обеих директив будет означать, что будут экранироваться только одиночные кавычки двойными кавычками ("). Двойные кавычки ("), левые слэши (\) и NULL останутся нетронутыми.

    Смотрите также описание функции ini_get(), которая позволяет получить значения упомянутых директив.

Зачем использовать "Волшебные Кавычки"?

1. Это полезно для начинающих программистов PHP

"Волшебные кавычки" были добавлены в PHP, чтобы помочь начинающим программистам языка PHP избегать фатальных последствий для безопасности системы при ошибках в коде написанных PHP скриптов, причем автоматически, без участия самого программиста. Хотя риск SQL инъекций при этом остается возможным, степень такого риска сводится к минимуму.

2. Это довольно удобно

Для того, чтобы вставлять данные в базу данных, "Волшебные Кавычки" можно не добавлять функцией addslashes() на всех Get, Post, и Cookie запросах, а делать это автоматически.

Почему не нужно использовать "Волшебные Кавычки"?

1. Мобильность

Включение экранирования и его выключение влияет на вашу мобильность. Используйте функцию get_magic_quotes_gpc() для проверки активной установки конфигурации "Волшебных Кавычек".

2. Производительность

Поскольку не каждая часть экранируемых данных используется в базах данных, существует потеря производительности PHP, поскольку обработка данных на предмет необходимости "экранирования" влечет за собой некоторую дополнительную нагрузку на систему. При необходимости произвести "экранирование" данных вы можете просто обращаться к соответствующим функциям (таким как addslashes()) и не пребегать к автоматическому экранированию "Волшебными Кавычками".

Вообще, при установке рекоммендуемых значений директив в файле конфигурации php.ini, автоматическое использование "Волшебних Кавычек" отключено, именно по соображениям производительности.

3. Неудобство

Поскольку не все данные нуждаются в экранировании, часто раздражет видеть "Волшебные Кавычки" там, где их не должно быть.Например, используя скрипт посылки электронной почту из формы, и видя связку \' в полученном сообщении электронной почты. А для устанения данной неприятности вам нужно будет часто прибегать к использованию функции stripslashes(), что, согласитесь, не очень удобно.

Отключение "Волшебных Кавычек"

Директива magic_quotes_gpc может быть выключена (off) только на системном уровне, но не во время исполнения скрипта. Так что функция ini_set() в данной ситуации вам не поможет.

Пример 1. Отключение "Волшебных Кавычек" на стороне сервера

Данный пример показывает как установить значение директивы "Волшебных Кавычек" в Off в файле конфигурации php.ini.

; Magic quotes
;

; Magic quotes for incoming GET/POST/Cookie data.
magic_quotes_gpc = Off

; Magic quotes for runtime-generated data, e.g. data from SQL, from exec(), etc.
magic_quotes_runtime = Off

; Use Sybase-style magic quotes (escape ' with '' instead of \').
magic_quotes_sybase = Off

Если вам недоступно изменение конфигурационного файла PHP, то вы можете использовать в таком случае .htaccess веб-сервера Apache, используя следующий метод:

php_flag magic_quotes_gpc Off

Если вам интересен небольшой переносимый PHP код, который позволяет конфигурировать "Волшебные Кавычки" во время исполнения скрипта определенным образом, то для вас ниже приведен листинг этого кода. Этот метод неэффективен, но иногда его использование может помочь. Итак, отключение magic_quotes_gpc во ремя исполнения скрипта PHP.

Пример 2. Альтернативный способ отключения "Волшебных Кавычек" во время исполнения скрипта

<?php
if (get_magic_quotes_gpc()) {
    function stripslashes_deep($value)
    {
        $value is_array($value) ?
                    array_map('stripslashes_deep'$value) :
                    stripslashes($value);

        return $value;
    }

    $_POST array_map('stripslashes_deep'$_POST);
    $_GET array_map('stripslashes_deep'$_GET);
    $_COOKIE array_map('stripslashes_deep'$_COOKIE);
}
?>


Источник: php.su
Категория: Безопасность сайта | Добавил: PHP (24.08.2008)
Просмотров: 9956 | Комментарии: 1
Всего комментариев: 1
1  
Вот тут стоят такие кавычки по всему сайту, и сайт не на PHP http://www.kinoreal.net/? как и мне сделать такие кавычки?

Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]

Copyright Viktor L.P. © 2017 Бесплатный конструктор сайтов - uCoz
down
'Волшебные Кавычки' (Magic Quotes) - Безопасность сайта - Уроки - Статьи, уроки - Уроки и статьи по PHP
Главная » Статьи » Уроки » Безопасность сайта

'Волшебные Кавычки' (Magic Quotes)

"Волшебные Кавычки" (Magic Quotes) - это процесс, который позволяет автоматически экранировать входные данные PHP скрипта. Данный принцип позволяет экранировать внешние данные, приходящие в PHP скрипт во время его выполнения.

Что представляют собой "Волшебные Кавычки"?

Когда "Волшебные Кавычки" включены (активизированы), все ' (одиночные кавычки), " (двойные кавычки), \ (левый слэш) и NULL знаки автоматически экранируются левыми слэшами (\). Данный принцип аналогичен действию функции addslashes().

Существуют три директивы "Волшебных Кавычек":

  • magic_quotes_gpc

    Затрагивает данные запросов HTTP (GET, POST, и COOKIE). Не может быть установлена в процессе работы PHP скрипта и установлена в on по умолчанию.

    Смотрите также описание функции get_magic_quotes_gpc().

  • magic_quotes_runtime

    Если данная директива включена (on), большинство функций, которые возвращают данные из внешнего источника, включая базы данных и текстовые файлы, будут экранировать данные левыми слэшами (\). Может быть установлена во время выполнения PHP скрипта. По умолчанию директива установлена в off.

    Смотрите описание функций set_magic_quotes_runtime() и get_magic_quotes_runtime().

  • magic_quotes_sybase

    Если данная директива включена (on), одиночные кавычки экранируются двойными кавычками, вместо левых слэшей (\). Причем если данная директива установлена в on, это полностью отменяет установку директивы magic_quotes_gpc. Включение (on) обеих директив будет означать, что будут экранироваться только одиночные кавычки двойными кавычками ("). Двойные кавычки ("), левые слэши (\) и NULL останутся нетронутыми.

    Смотрите также описание функции ini_get(), которая позволяет получить значения упомянутых директив.

Зачем использовать "Волшебные Кавычки"?

1. Это полезно для начинающих программистов PHP

"Волшебные кавычки" были добавлены в PHP, чтобы помочь начинающим программистам языка PHP избегать фатальных последствий для безопасности системы при ошибках в коде написанных PHP скриптов, причем автоматически, без участия самого программиста. Хотя риск SQL инъекций при этом остается возможным, степень такого риска сводится к минимуму.

2. Это довольно удобно

Для того, чтобы вставлять данные в базу данных, "Волшебные Кавычки" можно не добавлять функцией addslashes() на всех Get, Post, и Cookie запросах, а делать это автоматически.

Почему не нужно использовать "Волшебные Кавычки"?

1. Мобильность

Включение экранирования и его выключение влияет на вашу мобильность. Используйте функцию get_magic_quotes_gpc() для проверки активной установки конфигурации "Волшебных Кавычек".

2. Производительность

Поскольку не каждая часть экранируемых данных используется в базах данных, существует потеря производительности PHP, поскольку обработка данных на предмет необходимости "экранирования" влечет за собой некоторую дополнительную нагрузку на систему. При необходимости произвести "экранирование" данных вы можете просто обращаться к соответствующим функциям (таким как addslashes()) и не пребегать к автоматическому экранированию "Волшебными Кавычками".

Вообще, при установке рекоммендуемых значений директив в файле конфигурации php.ini, автоматическое использование "Волшебних Кавычек" отключено, именно по соображениям производительности.

3. Неудобство

Поскольку не все данные нуждаются в экранировании, часто раздражет видеть "Волшебные Кавычки" там, где их не должно быть.Например, используя скрипт посылки электронной почту из формы, и видя связку \' в полученном сообщении электронной почты. А для устанения данной неприятности вам нужно будет часто прибегать к использованию функции stripslashes(), что, согласитесь, не очень удобно.

Отключение "Волшебных Кавычек"

Директива magic_quotes_gpc может быть выключена (off) только на системном уровне, но не во время исполнения скрипта. Так что функция ini_set() в данной ситуации вам не поможет.

Пример 1. Отключение "Волшебных Кавычек" на стороне сервера

Данный пример показывает как установить значение директивы "Волшебных Кавычек" в Off в файле конфигурации php.ini.

; Magic quotes
;

; Magic quotes for incoming GET/POST/Cookie data.
magic_quotes_gpc = Off

; Magic quotes for runtime-generated data, e.g. data from SQL, from exec(), etc.
magic_quotes_runtime = Off

; Use Sybase-style magic quotes (escape ' with '' instead of \').
magic_quotes_sybase = Off

Если вам недоступно изменение конфигурационного файла PHP, то вы можете использовать в таком случае .htaccess веб-сервера Apache, используя следующий метод:

php_flag magic_quotes_gpc Off

Если вам интересен небольшой переносимый PHP код, который позволяет конфигурировать "Волшебные Кавычки" во время исполнения скрипта определенным образом, то для вас ниже приведен листинг этого кода. Этот метод неэффективен, но иногда его использование может помочь. Итак, отключение magic_quotes_gpc во ремя исполнения скрипта PHP.

Пример 2. Альтернативный способ отключения "Волшебных Кавычек" во время исполнения скрипта

<?php
if (get_magic_quotes_gpc()) {
    function stripslashes_deep($value)
    {
        $value is_array($value) ?
                    array_map('stripslashes_deep'$value) :
                    stripslashes($value);

        return $value;
    }

    $_POST array_map('stripslashes_deep'$_POST);
    $_GET array_map('stripslashes_deep'$_GET);
    $_COOKIE array_map('stripslashes_deep'$_COOKIE);
}
?>


Источник: php.su
Категория: Безопасность сайта | Добавил: PHP (24.08.2008)
Просмотров: 9956 | Комментарии: 1
Всего комментариев: 1
1  
Вот тут стоят такие кавычки по всему сайту, и сайт не на PHP http://www.kinoreal.net/? как и мне сделать такие кавычки?

Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]