0
magic_quotes_gpcバックスラッシュの意義?
私たちは皆、それを嫌うし、多くのサーバは、まだこの設定を使用して故意に十分な一部が提供する、それは安全ですが、私は同意しなければならないと主張します。
私が持っている質問は、バックスラッシュは何のために必要なのでしょうか? 私はそれらを完全に削除したいと思いますが、必要があるかわかりません。
その後、他のSQLインジェクションEDIT。
A
答えて
2
magic_quotes_gpc()は、外部ソースからPHPに送信されたすべてのデータがすぐにデータベースに挿入されるという誤った考えに基づいて提供されました。データベース以外の場所にそのデータを送信したい場合は、PHPが挿入したスラッシュを削除して、必要な作業を2倍にする必要がありました。
また、すべてのデータベースがエスケープしているメタキャラクタにスラッシュを使用するわけではありません。 \'はMySQLではうまくいますが、MS Accessでは一重引用符をエスケープすると実際には''になります。PHPが不必要な作業をしていただけでなく、多くの状況で、まずは誤った作業をしていました。
さらに、addslashes(基本的にmagic_quotes_gpc()が内部的に呼び出すもの)は、特にUnicodeが使用されているすべてのSQLインジェクション攻撃を処理できません。 addslashesはASCIIレベルで動作するstr_replace("'", "\\'", $string)という形で賞賛されています。多くのUnicodeシーケンスは通常のasciiのように見えますが、単純な形のaddslashes()が大混乱の後にSQLメタキャラクタに変わります。
1
これは、ウェブをコーディングする場合には、非常に深刻な問題であるSQL injectionの悪用を防ぐためのものです。
SQLインジェクションを避けるより良い方法である準備済みのクエリを調べる必要があります。
+0
私は安全に処理されるクエリを用意していますが、スラッシュが追加されているため、実際に追加する必要はありません。 – blanknamefornow
+0
次に、それらを無効にしてください。 – ceejayoz
1
PHPでこの機能を使用する理由はありません。
これは正式に廃止され、今後のバージョンには存在しない理由です。
それを保つ理由があれば、開発者コミュニティはそうしていたでしょう。
0
これらは削除するために余分な作業をするように設計されています。たとえば、some code in Dokuwikiです。
magic_quotes_runtimeも忘れないでください。
関連する問題
- 1. バックスラッシュは何を意味しますか?
- 2. 「pagerror.gif」の意義?
- 3. グルーピングの意義
- 4. AsEnumerableの意義?
- 5. resultDataの意義
- 6. 意義
- 7. 意義
- 8. 次のコードでは、バックスラッシュの意味は何ですか?
- 9. TCLではバックスラッシュの意味は何ですか?
- 10. バックスラッシュ「\」
- 11. 意義5
- 12. ハスケルでは二重バックスラッシュは何を意味しますか?
- 13. angularjsのURLの ":"の意義
- 14. 二重のバックスラッシュ(\\)
- 15. バックスラッシュのpython
- 16. Pythonのrstripバックスラッシュ
- 17. 意義と、この文の〜
- 18. ビルドパスでのcom.android.ide.eclipse.adt.LIBRARIESの意義?
- 19. 春のクラスの意義
- 20. mongodbの$と ""の意義
- 21. JSF 2 - ResponseWriter.flushの意義
- 22. グラデルタスク定義の意味は?
- 23. trace_ext4_request_inode(dir、mode)の意義?
- 24. 注意:未定義のインデックス:
- 25. 正規表現のバックスラッシュの後の数字の意味は何ですか?
- 26. Rubyのスラッシュとバックスラッシュ
- 27. mod_rewriteのApacheとバックスラッシュ
- 28. Elixirの関数パラメータで二重バックスラッシュは何を意味しますか?
- 29. 任意の文字列をASCIIに変換する、バックスラッシュを削除する
- 30. Ecapeは単一のバックスラッシュと二重のバックスラッシュを残す
私はあなたのお問い合わせを読んで楽しんで、私は何か新しいことを学びました、そして、これはそれが無意味な100%であることを私に安心させた最高の答えだと感じます。 – blanknamefornow