Sihirli Tırnaklar Neden Kullanılmamalıdır?

Uyarı

Bu özelliğin kullanımı PHP 5.3.0'dan beri ÖNERİLMEMEKTEDİR ve PHP 6.0.0'da tamamen KALDIRILMIŞTIR. Bu özelliğe kesinlikle güvenmemelisiniz.

  • Taşınabilirlik. Bu özelliğin açık veya kapalı olmasının taşınabilirliği etkilediği varsayılır. Böyle bir durumun varlığını get_magic_quotes_gpc() ile denetledikten sonra kodlamayı buna uygun yapın.
  • Başarım. Bir veritabanına yerleştirilen her veri parçası öncelenmediğinden, tüm bu verinin öncelenmeye çalışılması başarım kaybına sebep olur. Bu bakımdan (addslashes() gibi) önceleme işlevlerinin çalışma anında çağrılması daha verimli olur. php.ini-development bu yönergeleri öntanımlı olarak etkin kılsa da php.ini-production bunu etkisiz kılar. İkincisinin sebebi tamamen başarım ile ilgilidir.
  • Elverişsizlik. Tüm verinin öncelenmesi gerekmediğinden, gerekmediği halde verinin öncelenmiş olduğunu görmek çoğunlukla can sıkıcıdır. Örneğin bir formdan gönderilen epostada bir sürü \' görmek. Bu durumu düzeltmek için aşırı miktarda stripslashes() işlevi kullanmak gerekebilir.
add a note add a note

User Contributed Notes 5 notes

up
11
rjh at netcraft dot com
17 years ago
Additionally, addslashes() is not a cure-all against SQL injection attacks. You should use your database's dedicated escape function (such as mysql_escape_string) or better yet, use parameterised queries through mysqli->prepare().
up
11
anze
16 years ago
Another reason against it: security. You could be lulled in a feeling of false security if you have magic_quotes=On on a test server and Off on production server.

And another: readability of the code. If you want to be portable you need to resort to some weird solution, outlines on these pages (if (get_magic_quotes())...).

Let's hope magic_quotes soon goes to history together with safe_mode and similar "kind-of-security" (but in reality just a nuisance) inventions.
up
5
Albin Mrtensson
14 years ago
This is what I use to handle magic quotes

<?php

if (get_magic_quotes_gpc()) {
    function
strip_array($var) {
        return
is_array($var)? array_map("strip_array", $var):stripslashes($var);
    }

   
$_POST = strip_array($_POST);
   
$_SESSION = strip_array($_SESSION);
   
$_GET = strip_array($_GET);
}

?>
up
1
Anonymous
18 years ago
It is also important to disable Magic Quotes while in development enivronment. For the reasons mentioned above, not everybody is using Magic Quotes.

An application that works fine with Magic Quotes enabled may have security problems (ie can be subject to SQL attacks) when distributed.
up
-6
sir dot steve dot h+php at gmail dot com
17 years ago
I find it useful to define a simple utility function for magic quotes so the application functions as expected regardless of whether magic_quotes_gpc is on:

function strip_magic_slashes($str)
{
    return get_magic_quotes_gpc() ? stripslashes($str) : $str;
}

Which can be annoying to add the first time you reference every $_GET /$_POST/$_COOKIE variable, but it prevents you from demanding your users to change their configurations.
To Top