Magic Quotes

Beitrag von **S2B** » 15.02.2007 16:23

Hi @all,

Ich versuche gerade, einen möglichst kurzen Code für das Escapen der $HTTP_*-Variablen zu schreiben. Im Prinzip läuft jetzt alles, nur wäre es ganz gut, wenn vielleicht noch ein, zwei andere Leute den Code überprüfen könnten:

Code: Alles auswählen

if (!get_magic_quotes_gpc())
{
	function phpbb_escape_vars(&$var)
	{
		foreach ($var as $key => $value)
		{
			if (is_array($value))
			{
				phpbb_escape_vars($var[$key]);
			}
			else
			{
				$var[$key] = addslashes($value);
			}
		}
	}

	$escape = array('HTTP_GET_VARS', 'HTTP_POST_VARS', 'HTTP_COOKIE_VARS');
	foreach ($escape as $var)
	{
		phpbb_escape_vars($$var);
	}
}

Danke schon mal im Voraus.

larsneo · Beitrag von **larsneo** » 15.02.2007 19:29

lesestoff
btw: magic_quotes sind ein recht unbrauchbares mittel wenn es um sicherheit geht und sorgen sogar teilweise für probleme mit uploads. von daher sollte man magic_quotes als servereiinstellung vermeiden (oftmals kann man das ganze ja auch im shared hosting via .htaccess beeinflussen)

Beitrag von **S2B** » 15.02.2007 19:36

Hi larsneo,

ich weiß schon, dass Magic Quotes ein relativ unpratisches Mittel sind, um Scripte sicher zu machen, mir ging es aber in diesem Fall darum, den Code zum GPC-Escaping des phpBBs durch einen zu ersetzen, der lesbarer ist und auch wirklich alle Variablen überprüft (verschachtelte Arrays).

Ambience · Beitrag von **Ambience** » 15.02.2007 20:51

schau doch mal in die common.php von phpbb2 dort ist das ganze glaube ich zu finden.(sind so ganz viele whiles)

Beitrag von **S2B** » 15.02.2007 21:02

S2B hat geschrieben:mir ging es aber in diesem Fall darum, den Code zum GPC-Escaping des phpBBs durch einen zu ersetzen, der lesbarer ist und auch wirklich alle Variablen überprüft (verschachtelte Arrays).

Ambience · Beitrag von **Ambience** » 15.02.2007 21:15

ich finde ihn lesbar..

das mit den verschachtelten arrays lässt sich ja noch reinbasteln.

Beitrag von **S2B** » 15.02.2007 21:35

Genau das habe ich oben versucht. Oh mann...

Ambience · Beitrag von **Ambience** » 15.02.2007 22:28

sorry hab gerade kein phpbb2 board und wills mir im mom. auch nicht runterladen.

schick mal ein teil aus der common.php ich werde es dir dementsprechend erweitern, oder muss das dein obiger code sein?

BB-BF-BM · Beitrag von **BB-BF-BM** » 16.02.2007 08:28

@Ambience: http://www.phpbb.de/doku/xref/nav.html? ... ource.html

Beitrag von **S2B** » 16.02.2007 18:49

Äh, moment? Lest ihr eigentlich nicht, was ich schreibe?