Additionally, addslashes() is not a cure-all against SQL injection attacks. You should use your database's dedicated escape function (such as mysql_escape_string) or better yet, use parameterised queries through mysqli->prepare().
Por qué no usarlas
Advertencia
Esta característica ha sido declarada OBSOLETA desde PHP 5.3.0 y ELIMINADA a partir de PHP 5.4.0.
- Portabilidad El asumir que están habilitadas, o no, afecta a su portabilidad. Para comprobarlo, utilice get_magic_quotes_gpc() para así programar como corresponda.
- Rendimiento Dado que no todos los datos que se escapen se insertarán en una base de datos, existe un impacto negativo en el rendimiento escapando todos estos datos. Es más eficiente llamar a las funciones de escapado (como addslashes()) en tiempo de ejecución. A pesar de que en php.ini-development se habilitan por omisión estas directivas, en php.ini-production se deshabilitan. El motivo de esta recomendación es sobre todo debido a motivos de rendimiento.
- Inconvenientes Dado que no todos los datos necesitan escapado, a menudo resulta molesto ver datos escapados cuando no deberían. Por ejemplo, al enviar un correo electrónico desde un formulario, y comprobar que hay varios \' en el correo. Para corregirlo, se necesitará hacer un uso intensivo de stripslashes().
add a note
User Contributed Notes 5 notes
rjh at netcraft dot com ¶
16 years ago
anze ¶
15 years ago
Another reason against it: security. You could be lulled in a feeling of false security if you have magic_quotes=On on a test server and Off on production server.
And another: readability of the code. If you want to be portable you need to resort to some weird solution, outlines on these pages (if (get_magic_quotes())...).
Let's hope magic_quotes soon goes to history together with safe_mode and similar "kind-of-security" (but in reality just a nuisance) inventions.
Albin Mrtensson ¶
13 years ago
This is what I use to handle magic quotes
<?php
if (get_magic_quotes_gpc()) {
function strip_array($var) {
return is_array($var)? array_map("strip_array", $var):stripslashes($var);
}
$_POST = strip_array($_POST);
$_SESSION = strip_array($_SESSION);
$_GET = strip_array($_GET);
}
?>
Anonymous ¶
18 years ago
It is also important to disable Magic Quotes while in development enivronment. For the reasons mentioned above, not everybody is using Magic Quotes.
An application that works fine with Magic Quotes enabled may have security problems (ie can be subject to SQL attacks) when distributed.
sir dot steve dot h+php at gmail dot com ¶
16 years ago
I find it useful to define a simple utility function for magic quotes so the application functions as expected regardless of whether magic_quotes_gpc is on:
function strip_magic_slashes($str)
{
return get_magic_quotes_gpc() ? stripslashes($str) : $str;
}
Which can be annoying to add the first time you reference every $_GET /$_POST/$_COOKIE variable, but it prevents you from demanding your users to change their configurations.
