Backslash

[poske]

Inviando una mail con la funzione mail() oppure inviando stringhe provenienti da un form ho notato che le virgolette vengono reinterpretate con questo risultato \" oppure \'
C'è un modo per evitarlo? ho provato un po' di script ma nulla da fare...
Grazie :winkOLD:

prova con htmlspecialchars($stringa,ENT_QUOTES)


Ciaooo!!!!!

[poske]

prova con htmlspecialchars($stringa,ENT_QUOTES)

Grazie 1000 Debug! più tardi provo se funziona...
Ciao! :smile: :smile:

o meglio prima di scrivere sul file

$stringa=stripslashes($stringa);

mavericck

[gve]

In realta` credo che la soluzione al problema sia quello che trovi qua e non quanto proposto da debug.

Il settaggio dei magic quotes gpc indica se i dati inviati da un form contengono o meno le sostituzioni di certi caratteri speciali: in pratica, se e` attivo e` come se alle variabili inviate via post o get applicassi automaticamente addslashes.

La cosa aggiunge sicurezza riducendo la necesssita` di certi controlli sull'input da parte di chi programma il codice php, controlli che sono particolarmente necessari se i dati vengono inviati a un database.

Nel caso dell'invio di mail invece tale funzione puo` rompere causando la comparsa di \ un po' ovunque ... ma basta eseguire un controllo e provvedere di conseguenza, nella pagina che ti ho linkato mostrano come fare.

---EDIT---

Vedo ora il post di maverickweb; la soluzione dovrebbe bastare; ma se un giorno cambiano i settaggi dovresti togliere ... meglio secondo me, se la soluzione che ti ho linkato non risulta per te troppo complicata, eseguire il controllo sul magic quote.

@gve

quello che hai scritto è giustissimo, ma come tu stesso hai confermato, settando le magic quotes su off, tutto il codice sarebbe da rivedere sul lato sicurezza in quanto bisognerebbe creare un ottimo sistema di filtri di caratteri speciali (certo per chi vuole avere il completo controllo sullo script si può fare... io lo faccio OLD ), che non rappresenta un lavoro semplice da svolgere. mettere quella funzione dove serve potrebbe essere più rapido.

comunque de gustibus....

mavericck

Si, queste altre soluzioni sono valide, ma secondo me si potrebbero evitare questi ultimi discorsi (=preoccupazioni) scrivendo semplicemente codice html e inviando, ovviamente, in formato html la mail.


Ciaoooooo!!!!!!!

ma ci sono anche mail non derivanti direttamente da form, ma anche da script, inoltre potrebbe essere necessario elaborare i contenuti da spedire, e questo è fattibile solo in php

mavericck

[gve]

@gve

quello che hai scritto è giustissimo, ma come tu stesso hai confermato, settando le magic quotes su off, tutto il codice sarebbe da rivedere sul lato sicurezza in quanto bisognerebbe creare un ottimo sistema di filtri di caratteri speciali (certo per chi vuole avere il completo controllo sullo script si può fare... io lo faccio OLD ), che non rappresenta un lavoro semplice da svolgere. mettere quella funzione dove serve potrebbe essere più rapido.

comunque de gustibus....

mavericck

Forse mi son spiegato male ... o forse non ho capito bene quanto dici.
Ad ogni modo, io non volevo assolutamente proporre di settare su off il magic quotes; solo che in passato qua su altervista tale settaggio e` cambiato almeno un paio di volte.
Questo lo so perche` ho dovuto aggiustare un paio di volte il mio guestbook; poi ho applicato la soluzione che esegue lei il controllo, quindi non so se sia cambiato ancora; probabilmente no, pero` ...

Certo, una volta che c'e` lo stripslashes, anche se il magic quotes e` su off, avrebbero problemi solo casi molto particolari che dubito si presentino normalmente in una mail, quindi si potrebbe dire che la tua e`una buona soluzione che funziona bene col magic quotes on e al 99% col magic quotes off, quindi accetabile se uno non e` troppo pignolo cme me

@debug: se io invio una mail dove mi appare ad esempio
\"
anziche`
"
non mi risulta faccia differenza se e` scritta in html o no; usando htmlspecialchars avrai
\"
come sostituzione per
\"
ma il risultato a schermo non cambia, stripslashes e` necessario.

[gve]

@poske, visto che mi sono accorto che abbiamo alquanto complicato la cosa e non so quanto tu sia pratico, riassumo le conclusioni:

- usa stripslashes come suggerito da maverickweb e il 99,99% delle e-mail non avra` problemianche se in futuro i setaggi del server cambiassero (con quelli attuali sei sicuro al 100%).

- se vuoi sbaterti un po' di piu` e preferisci qualcosa di perfetto, vedi il link su php.net che ti avevo dato io ... ma in definitiva e` piu` uno sfizio che altro.

ma qui su AV non è possibile settare le magic quotes in runtime?

mavericck

EDIT: forse abbiamo fatto un po di confusione tra magic_quotes_runtime e magic_quotes_gpc :eyes:

[gve]

ma qui su AV non è possibile settare le magic quotes in runtime?

mavericck

EDIT: forse abbiamo fatto un po di confusione tra magic_quotes_runtime e magic_quotes_gpc :eyes:

Infatti io mi referivo alle seconde ... in runtime non e` possibile settarle, o almeno non lo era quando ho provato qualche mesetto fa, e non credo sia cambiato qualcosa; presumo dipenda sempre dal safe mode.

ecco qui, da manuale

Codice:

 Si ricordi che  magic_quotes_gpc non può essere impostata a runtime.

quindi rimane da vedere come è impostata su av

mavericck

[gve]

Appunto.
Attualmente e` on (credo sia l'impostazione piu` sensata), ma in passato e` quella che dicevo che e` variata un paio di volte.

@debug: se io invio una mail dove mi appare ad esempio
\"
anziche`
"
non mi risulta faccia differenza se e` scritta in html o no; usando htmlspecialchars avrai
\"
come sostituzione per
\"
ma il risultato a schermo non cambia, stripslashes e` necessario.

mmmmm forse dico caxxate, ma la stringa dovrebbe prima passare per la funzione e poi essere spedita via mail


Ciaooo!!!!!!