Czy mógłby mi ktoś wyjaśnić jak dokładnie działają magic_quotes? Sprawdzając ustawienia na localhost funkcją get_magic_quotes_gpc" title="Zobacz w manualu PHP" target="_manual, funkcja ta zwraca mi wartość 1 – informując mnie tym samym, że magic_quotes są włączone. Tyle tytułem wstępu.

Działam na dwóch plikach strona.php i klasa.php. W pliku strona.php tworzę nowy obiekt mojej klasy, wywołując go z parametrem, który jest zapytaniem do bazy danych.

Przykładowo:

[PHP] pobierz, plaintext 
<?php
$zmienna = new klasa("SELECT * FROM testowa;");
?>
[PHP] pobierz, plaintext 

Klasa (konkretniej konstruktor) wysyła zapytanie. Całość działa jak najbardziej poprawnie. Ciekawi mnie jednak jak w tym momencie zachowują się magic quotes? Wiem, że teoretycznie wszystkie znaki specjalne (single/double quote, backslash czy NULL) są poprzedzone backslashem automatycznie. Efekt (wydaje mi się) ma być podobny jak przy addslashes()" title="Zobacz w manualu PHP" target="_manual.

Przy akcji gdzie

[PHP] pobierz, plaintext 
<?php
$zmienna = "Jak’s PC"; addslashes($zmienna);
?>
[PHP] pobierz, plaintext 

sprawi, że $zmienna = "Jak\'s PC"; Czy tego samego można się spodziewać po magic quotes? Czy jeżeli są włączone to powinny sprawiać, że Jak’s PC w bazie zamieni się na Jak\'s PC?

Czy w ogóle (w moim przypadku) ma sens mieć na uwadze magic_quotes? Nawet jak na zmiennej robię wpierw addslashes()" title="Zobacz w manualu PHP" target="_manual to patrząc na bazę nie widzę tam tzw. podwójnego „escaping”.

Zakładając, że akcje, które wykonuje wyglądają tak:

[PHP] pobierz, plaintext 
<?php
$string = "Jak's PC";
addslashes ($string);
 
$zmienna = new klasa("INSERT INTO `baza`.`testowa` (`test`) VALUES('$string');");
?>
[PHP] pobierz, plaintext 

A w klasie (klasa.php)

[PHP] pobierz, plaintext 
<?php
function __construct($zapytanie) {
 [...]
    mysql_query($zapytanie);
}
?>
[PHP] pobierz, plaintext 

Więc jak ostatecznie działa ten mechanizm?

Jezeli magic_quotes "on", to automatycznie dodaje znaki ucieczki, jezeli "off" musisz sam o to zadbac. Odpowiadajac na pytanie, stosujac addslashes informujesz sql, ze ma do czynienia ze znakiem specialnym i ze musi go potraktowac jak zwykly znak, dlatego tez dodatkowego „escapinu” nie widac, jest to tylko informacja dla bazy.

Pisząc o dodatkowym "escapingu" mam na myśli fakt, iż mam włączone magic_quotes (nie mam wyjścia) i dodatkowo stosuje addslashes najpierw na zmiennych. Zanim wyśle zapytanie INSERT cośtam robię addslashes na zmiennej:

[PHP] pobierz, plaintext 
<?php
zmienna = addslashes($zmienna);
?>
[PHP] pobierz, plaintext 

czyli z "Jac's PC" otrzymuje "Jac\'s PC".

Wydawało mi się, że skoro mam włączone magic_quotes to wysłanie "Jack\'s PC" do bazy powinno skutkować zapisaniem czegoś takiego "Jac\\\'s PC", a tak nie jest. W bazie po wysłaniu "Jack\'s PC" widnieje "Jack's PC" nie muszę podczas wyswietlania danych z bazy "stripslashować" czego nie rozumiem (<-- tak jakby dodanego poprzez funkcję addslashes "\" traktował jak "swojego", czyli tego, który jest dodawany przez magic_uotes i jest niewidoczny[?])

Dopiero jak przez phpmyadmin dodam wartość "Jack\'s PC" to efekt będzie taki, że dodana wartość będzie faktycznie wyglądała tak: "Jack\'s PC" i konieczne będzie "stripslashowanie" tej wartości, żeby pozbyć się "\".

Stąd pytanie czy wynika to po prostu ze sposobu w jaki wysyłam zapytania? (Tworząc obiekt z parametrem zawierającym zapytanie) i w tym przypadku mogę stosować addslashes?

Dlatego zamiast addslashes użyj:
mysql_real_escape_string" title="Zobacz w manualu PHP" target="_manual - robi to samo, tylko trochę lepiej