Postformular: beim Absenden gleich codieren

[amiga1200]

ich habe einen Kundenserver, dort werden die Formular-Daten (Methot Post) schon beim übertragen codiert,
also aus 'test' wird 'test'.

was ich immer mit mysql_real_escape_string machen musste.


Ist das eine Apache Konfiguration? oder wir
wird das gemacht?

[hornox]

http://www.php.net/magic_quotes

[daemotron]

dort werden die Formular-Daten (Methot Post) schon beim übertragen codiert

Das ist normal. Der Request Body (also die POST-Daten) werden grundsätzlich in codierter Form zum Server übertragen und von diesem auch in codierter Form über die CGI- oder FastCGI-Schnittstelle weitergereicht. Wie diese Codierung aussieht, ist hier ganz gut beschrieben: http://openbook.galileocomputing.de/c_v ... 781F03F1A9

also aus 'test' wird 'test'.

Nein, aus 'test' im Formular wird %2Ctest%2C im HTTP Request. Wenn Du schon irgendwelche anderen Daten zu Gesicht bekommst, hast Du noch eine Schicht (wie etwa einen Interpreter) zwischen Webserver und Deinem Problemfall. In dem Fall hat das aber nichts mit dem Webserver, sondern mit dem Interpreter zu tun.

[papabaer]

was ich immer mit mysql_real_escape_string machen musste.

Mach's in jedem Fall weiter so. Selbst, wenn du eine Lösung findest, dass es an irgend einer Stelle "vorher" codiert wird. Du wechselst irgendwann den Server, änderst eine Config und vergisst es, vertraust Code, der beim User läuft, ... Und schon hast du die MySQL-Injection-Lücke offen.

Stefan

[danton]

Ich gehe mal davon aus, daß es sich um PHP handelt. Dann solltest du magic_quotes in der php.ini abschalten (ist mit PHP 5.3 sowieso deprecated und wird in PHP6 entfernt) und weiter mit mysql_real_escape_string/addslashes arbeiten.
Ich habe in meinen Scripten abgefragt, ob magic_quotes aktiv ist und wenn ja, dann werden die Superglobalen Array $_GET, $_POST, $_REQUEST erst noch mit stripslashes verarbeitet, so daß ich wieder den Zustand ohne magic_quotes habe.