I find it useful to define a simple utility function for magic quotes so the application functions as expected regardless of whether magic_quotes_gpc is on:
function strip_magic_slashes($str)
{
return get_magic_quotes_gpc() ? stripslashes($str) : $str;
}
Which can be annoying to add the first time you reference every $_GET /$_POST/$_COOKIE variable, but it prevents you from demanding your users to change their configurations.
Désactiver les guillemets magiques
Pourquoi utiliser les guillemets magiques?
Last updated: Fri, 05 Sep 2008
Pourquoi utiliser les guillemets magiques?
Last updated: Fri, 05 Sep 2008
Pourquoi ne pas utiliser les guillemets magiques?
- Portabilité Cette directive peut être activée ou désactivée suivant les serveurs et cela affecte grandement la portabilité. Utilisez get_magic_quotes_gpc() pour vérifier s'ils sont actifs ou pas, et adaptez votre application.
- Performances Comme ce n'est pas toutes les données qui sont finalement placées dans une base, il y a un coût en vitesse pour protéger toutes ces données. Le simple appel des fonctions de protections en fonction des besoins est plus efficace (addslashes()). Même si php.ini-dist active ces options par défaut, php.ini-recommended les désactive. Cette recommendation est surtout faite pour des raisons de vitesse.
- Peu pratique Comme toutes les données n'ont pas forcément besoin de protection, il est souvent désagréable de voir des données protégées là où ça ne sert à rien. Par exemple, lorsque vous envoyez par mail un formulaire, et que vous voyez des antislashs parsemer le message. Pour corriger cela, il faut faire un usage fréquent de stripslashes().
Désactiver les guillemets magiques
Pourquoi utiliser les guillemets magiques?
Last updated: Fri, 05 Sep 2008
Pourquoi utiliser les guillemets magiques?
Last updated: Fri, 05 Sep 2008
add a note
User Contributed NotesPourquoi ne pas utiliser les guillemets magiques?
sir dot steve dot h+php at gmail dot com
07-Dec-2007 05:45
07-Dec-2007 05:45
rjh at netcraft dot com
13-Jun-2007 11:50
13-Jun-2007 11:50
Additionally, addslashes() is not a cure-all against SQL injection attacks. You should use your database's dedicated escape function (such as mysql_escape_string) or better yet, use parameterised queries through mysqli->prepare().
gerard at modusoperandi dot com dot au
14-May-2007 06:53
14-May-2007 06:53
Apparently it will be removed in PHP 6:
http://www.php.net/~derick/meeting-notes.html#magic-quotes
11-Feb-2006 10:47
It is also important to disable Magic Quotes while in development enivronment. For the reasons mentioned above, not everybody is using Magic Quotes.
An application that works fine with Magic Quotes enabled may have security problems (ie can be subject to SQL attacks) when distributed.
Désactiver les guillemets magiques
Pourquoi utiliser les guillemets magiques?
Last updated: Fri, 05 Sep 2008
Pourquoi utiliser les guillemets magiques?
Last updated: Fri, 05 Sep 2008