Горизонтальный вертикальный макет объектов ListBox

“Magic quotes” является смягчающим средством от некоторых худших дефектов XSS, которые работают путем выхода из всего на входе, что-то, что это неправильно дизайном. Единственный случай, где можно было бы хотеть использовать его, - когда абсолютно необходимо использовать существующее приложение PHP, которое, как известно, было записано небрежно относительно XSS. (В этом случае Вы находитесь в серьезной проблеме даже с “magic quotes”.) При разработке собственного приложения необходимо отключить “magic quotes” и применить XSS-безопасные методы вместо этого.

XSS, уязвимость сценариев перекрестного сайта, происходит, когда приложение включает строки из внешних источников (ввод данных пользователем, выбранный от других веб-сайтов, и т.д.) в [X] HTML, CSS, ECMAscript или другой проанализированный браузером вывод без надлежащего выхода, надеясь, что специальные символы как меньше (в [X] HTML), одинарные или двойные кавычки (ECMAscript) никогда не будут появляться. Надлежащее решение его состоит в том, чтобы всегда выходить из строк согласно правилам выходного языка: с помощью объектов в [X] HTML, обратные косые черты в ECMAscript и т.д.

, поскольку может быть трудно отслеживать то, что недоверяемо и должно быть оставлено, это - хорошая идея всегда выйти из всего, что является “text string” в противоположность “text с markup” на языке как HTML. Некоторые среды программирования облегчают путем представления нескольких несовместимых строковых типов: “string” (обычный текст), “HTML string” (разметка HTML) и так далее. Тем путем прямое неявное преобразование от “string” до “HTML string” было бы невозможно, и единственный способ, которым строка могла стать разметкой HTML, путем передачи его через функцию выхода.

“Register globals”, хотя отключая его является определенно хорошей идеей, соглашениями с проблемой, совершенно отличающейся от XSS.