[PHP-users 6255] Re: magic_quotes_gpc の設定

HAYAKAWA Hiroshi php-users@php.gr.jp
Sun, 17 Mar 2002 18:13:20 +0900


早川@名古屋 です。

on 02.3.16 9:53 AM, Sunao Kiyosue at kiyosue@pictsys.com wrote:

> きよすえ@福岡です。
> 
> HAYAKAWA Hiroshi wrote:
>> PHPを使い込まれているみなさんにお尋ねしたいのですが、
>> magic_quotes_gpcの設定はどうされてますでしょうか?
> 
> 開発環境ではOffにしてます。
> 
> でも、納品先がOffとは限らないので、(実際onが多い)

(中略)

> みたいにして、気にしないようにしてます。
> 実際は(半角文字の変換等)他の処理も組み込んでいますが。
> 
> お答えになっているでしょうか?

「納品先の環境に左右されないように」ということでしょうか?

すべての場面で環境判定を行なって利用するのであれば
それはもう言う事なしだと思うのですが、
そこまではしない場合に
どういう観点でどう設定するかという点をお聞きしたいのですが、

投稿の時点では、
magic_quotes_gpcをOffにして
SQLクエリの生成時に<完璧に>エスケープする方が
繁雑にならないかと思っていました。

しかし人間がミスをする動物であることを考えると、
少々繁雑にはなってもmagic_quotes_gpcはOnにして、
入力値をプログラム中から送信するメールで利用する場合とか、
HTMLに出力したりする場合とか、
その他文字列を比較・チェックするような場合に
いちいちstripslashes()した方がいいかなと思いはじめました。

<万が一の場合>に、
データベースに問題が生じる可能性と、
表示文字列がエスケープされたまま表示されるのと、
どちらが致命的かを考えると前者の方が致命的だと思いますので。

もちろん作成するシステム(プログラム)によって
繁雑になる具合も違ってきますし、
文字列長のチェックなどの際に厳密を求めるならば
いちいちstripslashes()する必要が出てきて
かなり繁雑になってしまいますけども。


-----
>>>  With your dreaming,           ☆彡  Hayakawa,Hiroshi          <<<
>>>          with your smile.    ☆彡    hayakawa@sam.hi-ho.ne.jp  <<<
>>>                            ☆彡      Nagoya,Aichi,JAPAN        <<<