Der Unterschied zu mysql_real_escape_string ist mir bereits aus
diesem Bericht hinreichend bekannt, der gar nicht magic, sondern direkt addslashes() kritisiert. Aber magic_quotes_gpc hilft da wo Anfänger keinen Einblick mehr haben können, nämlich dann wenn fremde Scripte auf dem eigenen Server platziert werden. Schon selbst entwickelte Scripte, wie dieser Angriff und viele andere beweisen, resultierten MySQL-Inclusions, wobei viele Inclusions auch locker an magic vorbeikommen, da sie simpel auf Anführungszeichen verzichten und mit einem Komma UNION SELECTS einschleusen oder parallel External File Inclusion betreiben.
Und es ist meiner Meinung nach unsinnig magic zu kritisieren, während phpbb2 kein real_escape nutzt und zusätzlich täglich mit ungeprüften Modulen Dritter erweitert wird.
phpBB erleidet bei jedem erfolgreichen Angriff einen Imageschaden und diesen kann man nur eindämmen, in dem man entweder Module Dritter einschränkt oder die allgemeinen Sicherheitsrichtlinien verbessert.
Und von PHP6 sind wir noch so weit entfernt wie die Türkei von der EU.
Meine persönliche Meinung zur Entwicklung von PHP ist noch gegensätzlicher, da es sich für mich viel zu stark in C entwickelt, als eine einfache Struktur beizubehalten. PHP4 ist Apple und PHP6 ist Microsoft, aber diese Diskussion ist eindeutig fehlt am Platz
Letztlich macht eine .htaccess aber ja nichts anderes als das Verzeichnis aus dem erreichbaren Bereich herauszunehmen
Der Meinung bin ich auch. Wenn eine external/local file inclusion gegriffen hat, dann ist es auch vollkommen egal wo die Dateien abgelegt wurden, da man sie dann an Hand des Quelltextes selber aufspüren und leicht einlesen/ausgeben kann.
Ich werde denke ich die Emailadressen in meinem Forum verschlüsselt hinterlegen. MySQL bietet einige kryptische Funktionen zur Ver- und Entschlüsselung an. Und solange kein Zugriff auf den Quelltext der Dateien erreicht wird, um das Passwort herauszufinden, sind diese zumindest im MySQL-Inclusion Fall unbrauchbar.
Oder kennt jemand schon einen Hack für AES-Verschlüsselungen?
Gruß