php flag .htaccess

ja det kan det hvis ikke du bruger mysql_real_escape_string(), eller tilsvarende, på variabler der skal ned i en database.

Kan du uddybe det lidt mere :), aner stort set ingenting om PHP, men læste et sted at jeg kunne prøve at sætte dem til off.

magic_quotes lærer dig sådan set bare at skrive sloppy kode.


Når du fx ved POST sender noget formularindhold ned i en database, ønsker du ikke at brugeren bryder din SQL-statement, også kaldet sql-injections.

Og det er for at undgå dette, at man escaper de variabler der indgår i ethvert SQL kald, og det gør enten magic_quotes automatisk for en, eller man gør det selv (hvilket man jo selvfølgelig gør) med mysql_real_escape_string hvis man benytter MySQL database.

Eksempel (uden hensynstagen til korrektheden i opbygning eller syntax):

<form method="post" action="formular.php">
<input type="text" name="tekstinput">
</form>

<?php
  if (isset($_POST['tekstinput'])) {
    $tekstinput = mysql_real_escape_string($_POST['tekstinput']);

    $query = mysql_query("SELECT * FROM tabel WHERE tekst = '".$tekstinput."'");
  }

Og når du skriver "value" bør det være en streng
"flag" er et tal

php_value magic_quotes_runtime off
php_value magic_quotes_gpc off

php_flag magic_quotes_runtime 0
php_flag magic_quotes_gpc 0

hehe, ok fatter ikke en brik :), men en klog man fortalte mig at jeg skulle smide en ny .htacces fil ned i underkataloget, så det løser problemmet. Smid et svar for at få point :)

Svar