Con le nuove versioni di php è stato prima deprecato e poi eliminato il parametro Magic Quotes. Questo parametro, quando impostato su ON, aggiungeva automaticamente il carattere escape - \ - ove necessario nei dati in arrivo via post, get o cookie.
Più semplicemente, se da una pagina all'altra mandavi una variabile, da aggiungere su database mysql, di questo tipo:
-
$var="L'uno per l'altro, con l'altro, contro l'altro";
il contenuto della variabile veniva automaticamente convertito in:
"L\'uno per l\'altro, con l\'altro, contro l\'altro".
Con il Magic Quotes impostato su OFF, o assente, ovviamente questo non succede più e ciò significa che questa operazione va fatta fare di volta in volta, altrimenti, per intenderci, la query di inserimento su database restituisce un warning o tronca la stringa al primo apice (se non ricordo male).
Per ovviare a questa cosa si usa la funzione mysql_escape_string($unescaped_string) in questo modo:
Fatto questo la variabile può tranquillamente essere utilizzata.
Quindi...
Se devi scrivere un codice ex-novo nessun problema.
Ma...
Il problema nasce quando hai un codice già scritto da trasferire su un server che non prevede le Magic Quotes. Dovresti prendere una ad una tutte le variabili che interessano inserimenti/aggiornamenti su database e "mysql_escape_string-arle".
In alternativa come fare?
Un metodo potrebbe essere quello di includere all'inizio di ogni file php (magari sfruttando un'inclusione già esistente) il seguente piccolo script:
-
foreach ($_POST as $key => $value)
In questo modo tutte le variabili passate in POST verranno "mysql_escape_string-ate" in automatico.
Ultimi Commenti