Помогите разобраться в magic quotes gpc()

Question

Помогите разобраться в magic quotes gpc()

Я изучал этот PHP-код из учебника для загрузки файлов

<form method="post" enctype="multipart/form-data">
  <input name="userfile" type="file" id="userfile">  
</form>

<?php
  if (isset($_POST['upload']) && $_FILES['userfile']['size'] > 0) {
    $fileName = $_FILES['userfile']['name'];
    $tmpName  = $_FILES['userfile']['tmp_name'];
    $fileSize = $_FILES['userfile']['size'];
    $fileType = $_FILES['userfile']['type'];

    $fp      = fopen($tmpName, 'r');
    $content = fread($fp, filesize($tmpName));
    $content = addslashes($content);
    fclose($fp);

   if (!get_magic_quotes_gpc()) {
     $fileName = addslashes($fileName);
   }

   include 'library/config.php';
   include 'library/opendb.php';

   $query = "INSERT INTO upload (name, size, type, content ) ".
     "VALUES ('$fileName', '$fileSize', '$fileType', '$content')";

   mysql_query($query) or die('Error, query failed');
   include 'library/closedb.php';

теперь я понимаю каждую функцию и все, используя документацию php

за исключением

get_magic_quotes_gpc()

что это? Что он делает?
это eseential? Если да, есть ли замена для этого?
в руководстве PHP сказано: "Эта функция устарела с PHP 5.3.0. Опираясь на эту функцию крайне не рекомендуется.". Уточнить пожалуйста?
нет ли способа загрузить файлы на (веб)сервер harDisk и предоставить ссылки на них..

7

function manual php security

автор: kiamlaluno

2 ответов

автор: DmitryK · Accepted Answer · 2010-08-18 01:24:09

get_magic_quotes_gpc () - это функция, которая проверяет конфигурацию (php.ini) и возвращает 0, если magic_quotes_gpc выключен (в противном случае он возвращает 1).

когда magic_quotes включены, все '(одинарная кавычка), " (двойная кавычка), \ (обратная косая черта) и NULs экранируются с обратной косой чертой автоматически. Это необходимо для предотвращения всевозможных проблем безопасности инъекций.

в вашем случае код проверяет, выключен ли параметр и добавляет косые черты, чтобы правильно избежать содержимого для предотвращения SQL инъекция.

Как вы сказали - эта функция устарела и, безусловно, будет удалена в будущем (на самом деле они удалили ее в PHP6).

альтернатива, чтобы избежать данных во время выполнения по мере необходимости

автор: Michael Baxter · Accepted Answer · 2016-10-16 07:54:14

после прочтения вашего поста и всех ответов и комментариев я думаю, что эта функция может помочь,

function mysql_prep( $value ) {
    $magic_quotes_active = get_magic_quotes_gpc();
    $new_enough_php = function_exists( "mysql_real_escape_string" ); // i.e. PHP >= v4.3.0
    if( $new_enough_php ) { // PHP v4.3.0 or higher
        // undo any magic quote effects so mysql_real_escape_string can do the work
        if( $magic_quotes_active ) { $value = stripslashes( $value ); }
        $value = mysql_real_escape_string( $value );
    } else { // before PHP v4.3.0
        // if magic quotes aren't already on then add slashes manually
        if( !$magic_quotes_active ) { $value = addslashes( $value ); }
        // if magic quotes are active, then the slashes already exist
    }
    return $value;
}