Помогите понять Magic_Quotes_GPC ()
Вопрос
Я изучал этот PHP код из учебника для загрузки файлов
<form method="post" enctype="multipart/form-data">
<input name="userfile" type="file" id="userfile">
</form>
<?php
if (isset($_POST['upload']) && $_FILES['userfile']['size'] > 0) {
$fileName = $_FILES['userfile']['name'];
$tmpName = $_FILES['userfile']['tmp_name'];
$fileSize = $_FILES['userfile']['size'];
$fileType = $_FILES['userfile']['type'];
$fp = fopen($tmpName, 'r');
$content = fread($fp, filesize($tmpName));
$content = addslashes($content);
fclose($fp);
if (!get_magic_quotes_gpc()) {
$fileName = addslashes($fileName);
}
include 'library/config.php';
include 'library/opendb.php';
$query = "INSERT INTO upload (name, size, type, content ) ".
"VALUES ('$fileName', '$fileSize', '$fileType', '$content')";
mysql_query($query) or die('Error, query failed');
include 'library/closedb.php';
Теперь я понимаю каждую функцию и все, используя документацию PHP
КРОМЕ
get_magic_quotes_gpc()
- Что это такое? Что оно делает?
- Это ярость? Если да, есть ли замена для этого?
- Руководство по PHP сказано: «Эта функция была устарела от PHP 5.3.0. Оценка на эту функцию сильно обескуражена». Уложить пожалуйста?
- Разве нет способа загружать файлы на (веб -) сервер Hardisk и предоставить ссылки на них ..
Решение
get_magic_quotes_gpc () - это функция, которая проверяет конфигурацию (php.ini) и возвращает 0, если magic_quotes_gpc выключен (в противном случае возвращается 1).
Когда magic_quotes включено, все '(одноразовая цитата), "(двойная цитата), (Backslash) и Nuls автоматически сбежаются с обратной чертой. Это должно предотвратить все виды проблем безопасности впрыска.
В вашем случае код проверяет, если настройка выключена, и добавляет скольжения, чтобы правильно избежать контента, чтобы предотвратить инъекцию SQL.
Как вы сказали - эта функция устарела и, безусловно, будет удалена в будущем (на самом деле они удалили ее в PHP6).
Альтернатива состоит в том, чтобы избежать данных во время выполнения по мере необходимости
Другие советы
Прочитав ваш пост и все ответы и комментарии, я думаю, что эта функция может помочь,
function mysql_prep( $value ) {
$magic_quotes_active = get_magic_quotes_gpc();
$new_enough_php = function_exists( "mysql_real_escape_string" ); // i.e. PHP >= v4.3.0
if( $new_enough_php ) { // PHP v4.3.0 or higher
// undo any magic quote effects so mysql_real_escape_string can do the work
if( $magic_quotes_active ) { $value = stripslashes( $value ); }
$value = mysql_real_escape_string( $value );
} else { // before PHP v4.3.0
// if magic quotes aren't already on then add slashes manually
if( !$magic_quotes_active ) { $value = addslashes( $value ); }
// if magic quotes are active, then the slashes already exist
}
return $value;
}