Я никогда не программировал в среде с включенными волшебными кавычками. Сейчас я работаю над проектом, где он находится. Вот как я настраивал принятые пользователем ситуации с данными:
$first_name = $_POST['first_name']
if(!get_magic_quotes_gpc()) {
$first_name = mysql_real_escape_string($first_name);
}
С этой фильтрацией я все еще открыт для атак с использованием SQL-инъекций, когда включены магические кавычки?
Меня действительно беспокоит только то, что SQL-инъекция сломает мои запросы ... Другие белые списки, htmlspecialchar () -ing и т. Д. Для других областей.
Глядя на некоторые подобные вопросы SO, кажется, что вместо этого рекомендуется проверять магические кавычки, запускать «полоску» на данных, если они включены, а затем всегда запускать функцию escape. Я немного опасаюсь делать это таким образом, потому что весь существующий код на сайте предполагает, что он включен.
Спасибо!