Практически каждый из нас слышал о «магических» кавычках и их роли в SQL-injection. Но мало кто задумывался, что означает gpc. Если мы обратимся к определению, то там ясно сказано: magic_quotes_gpc=ON автоматически слэширует _GET/_POST/_COOKIE и _REQUEST. А остальное, например, $_FILES, $_ENV, $_SERVER, $_SESSION и множество других глобализаций, никто и не думает слэшировать.
Поняли, чем это грозит???
.gif)
А теперь вспомни предыдущий пункт.
Да, ужос!
Юзер-агент, реферер лежат в _SERVER и magic_quotes’ом не обрабатываются.
Значит, если программер не позаботился о фильтре, то репутация продукта висит на волоске. Через юзерагент элементарно пробиваются "магические" кавычки.
И щас, правило хорошего тона (в нашем двиге я именно так и делаю), вообще эти кавычки убирать и фильтровать надежными методами.