Das leidige Thema Hochkomma

Wenn ich beispielsweise mein Profil in http://www.banditwelt.de\" rel=\"external nofollow\">meinem Powie-Forum bearbeite und dort ein Hochkomma verwende, bekomme ich folgende Fehlermeldung:

You have an error in your SQL syntax near \'Pop\',info2=\'Niedersachsen / LK Lüneburg / PLZ: 21xxx\',info3=\'normaler Fahrer\',ge\' at line 2
Warning: Cannot modify header information - headers already sent by (output started at /www/htdocs/xxxxxx/pforum/edituser.php:650) in /www/htdocs/xxxxxx/pforum/edituser.php on line 759
[/quote] Hier ist es nicht so.
Woran liegt es und wie kann ich das beheben /uploads/emoticons/icon_e_sad.gif.cc8ba2b6b966c5e020020efa47702aab.gif\" alt=\":(\" />
PFORUM-Version: die neueste

[mahe]

Welche Felder sind davon betroffen(?)

[Powie]

URL ?

Original von Powie URL ?
[/quote]Ich denke mal http://www.banditwelt.de/pforum/index.php\" rel=\"external nofollow\">http://www.banditwelt.de/pforum/index.php  /uploads/emoticons/icon_e_biggrin.gif.40dcc5d69f84e2cf29e77d8e1e9a84e2.gif\" alt=\":D\" />

So was ich bislang festgestellt habe sind es die Felder:
Lieblingsspiele
Bundesland
Motto
die bei mir aber heißen:
Dein Motorrad
Deine Herkunft
Dein Fahrstil
(in der config.inc.php geändert, was aber nicht ausschlaggeben sein dürfte, oder ??

Original von IndoorJo

Original von Powie URL ?
[/quote]Ich denke mal http://www.banditwelt.de/pforum/index.php\" rel=\"external nofollow\">http://www.banditwelt.de/pforum/index.php  /uploads/emoticons/icon_e_biggrin.gif.40dcc5d69f84e2cf29e77d8e1e9a84e2.gif\" alt=\":D\" />[/quote]
Stimmt :H:

[Powie]

magic_quotes_gpc Off Off
magic_quotes_runtime Off Off
magic_quotes_sybase Off Off
das liegt daran.. ich werde eine geänderte edituser zur Verfügung stellen !

Original von Powie magic_quotes_gpc Off Off
magic_quotes_runtime Off Off
magic_quotes_sybase Off Off
das liegt daran..
[/quote]
Ähh, kann ich nix mit anfangen /uploads/emoticons/icon_e_surprised.gif.a005678239f11b45b64b526b2c82e9a1.gif\" alt=\":o\" />

[Powie]

lade dir jetzt die geänderte edituser.php aus dem cvsout !

:H: THX, scheint zu funzen :H:

magic_quotes_gpc Off Offmagic_quotes_runtime Off Off
magic_quotes_sybase Off Off
das liegt daran.. ich werde eine geänderte edituser zur Verfügung stellen !
[/quote]
Um das kurz zu beleuchten:
magic_quotes_xxx sorgt dafür, dass Eingaben automatisch mit addslashes() behandelt werden. Das ist eines von vielen Schlangenöl-Sicherheitsfeatures PHPs: Viele Programmierer, darunter Powie (wenn er es nicht inzwischen geändert hat) verlassen sich auf dieses (optionale) Feature. Wenn ein Hoster dieses aber deaktiviert, wird deren Software automatisch anfällig, z.B. für SQL Injection. Ich konnte in deinem Forum deinen Admin-Account hinjacken und hätte dein Forum beliebig manipulieren können.
Ich persönlich halte magic_quotes_xxx genau wie den safe_mode von PHP für Bullshit. Kein Programmierer braucht irgendwelche esoterische, deaktivierbare Features, die für Sicherheit sorgen sollen, da man sich nicht auf sie verlassen kann. Leider müssen die Hoster diesen Kram aber aktivieren, weil sonst geschätzte 95% der Software (ich bezeichne diesen Anteil als Moronware), die von den PHP-\"Programmierern\" rund um den Weltball produziert wird, plötzlich nicht mehr läuft. Siehe dazu auch die Rants gegen register_globals auf off als Standardeinstellung und Workarounds, die auch hier im  Forum gepostet wurden.
Für den interessierten Leser gibt es im aktuellen Linux Magazin eine gute Reihe von Artikeln über (PHP-)Sicherheit. Die paar Euro fünfzig sollte man auf jeden Fall investieren.
Wenn man sich auf magisches Quoting verlässt, ist man verlassen. Wie der Name schon sagt: Magie. Und zwar von der ganz schwarzen Sorte.