решил проблему.. отключил Волшебные кавычки и перегрузил наконец этот долбаный сервак который почему то не всегда принимает изменения в php.ini

уверен, сейчас получишь кучу sql-инжектов...

glock18, ну так есть же способ работать без магических кавычек и не один раз его видел, правда не вспомню где. Если знаешь скажи...
Иначе мне надо тогда (с включеными) убрать тот баг который оставляет включенные кавычки

Не надо трогать магические кавычки.
Нужно сделать так, что бы скрипт работал в любом случае, включены они или нет.

mysql_real_escape_string(); - так же сама как и волшебные кавычки вставляет слеш.
stripslashes(); - возвращает строку с вырезанными слэшами

Теперь можно проверить:
если get_magic_quotes_gpc() работает, тогда мы вырезаем слеши(stripslashes()) которые вставились автоматом.
А затем экранируем кавычки с помощью mysql_real_escape_string().

А если get_magic_quotes_gpc() не включен, то мы не используем stripslashes(), а просто экранируем кавычки с помощью mysql_real_escape_string().

if (get_magic_quotes_gpc())
{
      $data = stripslashes($data); // вырезаем слеши вставленные get_magic_quotes_gpc
}
$data =  mysql_real_escape_string($data); // экранируем кавычки

Кавычки мы экранируем в любом случае, но что бы не получилось двойного экрана, когда магические кавычки вставляют слеши и mysql_real_escape_strin так же вставляет, мы должны проверить статус get_magic_quotes_gpc() и если она работает, то врезать лишнее...
Вроде все правильно, если что то не так поправьте.

ApuktaChehov
вставляет на момент работы с данными написано английским по какомутотам на php.net

Результат может быть разным в некоторых мультибайтных кодировках Если бы результат был один и тот же, то смысла убирать слэши не было бы (убирать и добавлять снова - ненормально).

ApuktaChehov, наверное некорректно


glock18 даже в ASCII результат может быть разным
addslashes (и magic_quotes) экранируют 4 символа, mysql_real_escape_string - 8 (кажется, в общем больше).

да, тебе уже написали выше как именно

Такс, наверное не туда ушли
я же в начале написал, что проблема пока такая , при включенных Кавычках

в ФОРМЕ добавления ставятся слеши, и вот сколько раз пользователь не правильно заполнил поля вот во столько раз он изуродовал свой текст этими слешами, и пока на этом этапе все равно что там в БД уйдет, так я и пользователь видет это ужас у себя в форме ввода..

информация в поле воода попадает из $_POST['description'] она пока еще в воздухе и в БД не уйдет пока правильно все не заполнит пользователь

<textarea rows="5" cols="50" name="text"><?php echo $description; ?></textarea>


вот так
<?php echo stripslashes($description); ?>

проблема не решается

П.С
если магические кавычки включены то в БД я не добавляю так
$description = mysql_real_escape_string($description);

но у меня проблема до того как надо добавить данные в БД

WhiteKnight
прочитай внимательно что написал ApuktaChehov

glock18
прочитал. Скажи в каком месте я начил тупить (новый год все таки)

get_magic_quotes_gpc - последние три символа обозначают: массивы GET, POST, COOKIE.

Это значит, что при попадании кавычек в эти массивы они все автоматом экранируются, т.е. вставляются слешы. Если ты не используешь, и не собираешь использовать БД, тогда либо отключи волшебные кавычки, либо сделай так:

<textarea rows="5" cols="50" name="text"><?php echo  stripslashes($description); ?></textarea>

Но стоит учесть что функция stripslashes() удаляет все слешы, двойные слешы становятся одинарными.

я уже писал вот так
<?php echo stripslashes($description); ?>

проблема не решается

я в текстовом поле вижу такое

\\\\\\\\\\\\\\\'d\\\\\\\\\\\\\\\'sfsdf

    function stripslashesDeep($data)    
    {    
        if(is_array($data))     
            $data = array_map("stripslashesDeep", $data);     
        else   
            $data = stripslashes($data);     
        return $data;
    }

    if(get_magic_quotes_gpc()) 
    { 
    $_GET = stripslashesDeep($_GET);  
    $_POST = stripslashesDeep($_POST);  
    $_COOKIE = stripslashesDeep($_COOKIE); 
    }

А почему их так много?

вставил что бы проверить, хотя *о*ой чувствую что не туда... но вот

<textarea rows="5" cols="50" name="description">
				<?php
					function stripslashesDeep($data)    
					{
						if(is_array($data))     
						$data = array_map("stripslashesDeep", $data);     
						else   
						$data = stripslashes($data);     
						return $data;
					}

					if(get_magic_quotes_gpc()) 
					{ 
						$_GET = stripslashesDeep($_GET);  
						$_POST = stripslashesDeep($_POST);  
						$_COOKIE = stripslashesDeep($_COOKIE); 
					}
					echo $description;
				?></textarea>

результат тотже

все решил проблему..
новый год и программирование не совместимы

На меня сейчас накинутся сторонники секурности... Поймите меня правильно, я тоже за безопасный кодинг ) Но если бошка на плечах - нужно отрубить волшебные кавычки в .htaccess и эскэйпировать данные перед запросами в БД. Ну а если уж человек сам себе не верит и на свою внимательность при написании обработки данных не может расчитывать - это очень плохо

Ты рассуждаешь - после нас хоть потоп. Ну отрубишь ты их в .htaccess, а админ с бодуняки 1-го января случайно врубит. Или хозяин ресурса задумает перенести на другой хостинг, а обрубить забудет.
Скрипт должен работать одинаково, не смотря на внешние настройки. Это и есть скьюрность.

Ну это ж потеря в производительности ) Я наверно просто привык писать проекты большие и тяженые на своих серверах или как минимум VDS, вот с этой колокольни и рассуждаю. Админа такого с его бодунякой гнать надо, а при переезде быть внимательными.

Да какая там потеря... Одна функция get_magic_quotes_gpc() для подстраховеи. За то спокойный, размеренный сон.
У меня тоже проекты на дедиках, но я админам не доверяю. И как выяснилось - не зря.