magic_puotes_gpc on u off???

Bueno el asunto es el siguiente:

En mi hosting la configuracion del php.ini esta con algo asi: register_globals esta a ON y el magic_quotes_gpc tambien esta en valor ON, estuve leyendo que si en mi servidor magic_quotes_gpc esta en ON y yo en las solicitudes a la BBDD y en las variables recibidas por $_GET y $_POST uso la funcion de PHP addslashes() y trim() (como metodo de seguridad contra sentencias no deseadas que podrian entrar por uno de estos medios) esto haria que mi contenido fuera afectado por un backslash adicional en el contenido segun tengo entendido; bueno,, el hecho es que quiero saber que tanto peligro corro con no cambiar esto (quitandole el addslashes() a todas las variables que recibo de una pagina a otra para sentencias sql y todo lo demas) y dejando de utilizar addslashes(), dejandole todo al magic_quotes_gpc ???? o bastara con agregar este codigo al principio de todas las paginas

if (get_magic_quotes_gpc()) {
$_GET = array_map('stripslashes', $_GET);
$_POST = array_map('stripslashes', $_POST);

que me pueden comentar al respecto, me siento un poco confundido con que sera lo mas correcto?

Gracias.

Bueno .. si usas magic_quotes_gpc a ON (en tu configuración de PHP) .. puedes evitar usar addslashess() y sólo usar stripsalassesh() como ya lo haces .. También puedes ver el valor de esa directiva (con la función que ya usas) para aplicar addslassesh() a tus datos que entran por POST, GET o COOKIES (es lo que significa "gpc") si corresponde.

A nivel de BD .. puedes usar (Mysql por ejemplo) mysql_escape_string() que añade los "slash" necesarios si corresponde para evitar problemas.

Un saludo,

Ahora que pasa si en mi server tengo activado el magic_quotes_gpc a ON y en mis paginas estoy utilizando el addslashes() en todas estas variables globales,,, habra algun problema de seguridad ?? tendre que quitarles el adslashes() en todas mis paginas ??? y si le dejo estas funciones a estas variables, tendre algun problema o habra algun mal resultado??

Gracias de antemano por su ayuda.

De seguridad no creo que tengas problemas .. pero si de mal resultado .. concretamente un \ de más ...

Por eso si quieres hacer que tus aplicaciones funcionen bajo esa directiva a ON o a OFF .. puedes ver su estado para decidir si has de usar addslasehss o no .. por qué el striptslashes() (el quitar los \ cuando presentas tus datos que así los almacenastes) lo tienes que hacer igualmente .. pero si claro .. si tu servidor usa magic_quote_gpc a ON y tu a su vez aplicas otro addslahses() .. estás añadiendo un \ de más que tendrías que quitarselo X2 (dos veces aplicar dicha función strip....()).

Lo típico es que se use magic_quote_gpc= ON en todas las configuraciones de PHP (pues así sale por defecto) y por seguridad .. Pero no está de más hacer la comprobación para aplicar o no addslahses() ...

Un saludo,

Te agradesco mucho que compartas tus conocimientos Cluster,,, Gracias y hasta la proxima,

saludos desde Guatemala tambien...