Register_Global ......

Einklappen
X
Einklappen
 
  • Seite von 1
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige template Weiter
  • #1

    Register_Global ......

    Hallo zusammen .... ich habe mal eine Frage


    inwiefern ist es gefährlich " register_global " auf ON zu stellen


    ch habe bisher auf meinen Webspace ( php 4.1 ) gearbeitet wo es auch ON war , nun habe ich einen Rootserver (php 4.2 ) und dort ist es standart auf off weil auch die PHP version höher ist !

    Auf On stellen ist kein thema ( php.ini auf und go )


    aber was kann passieren ?


    Greez
    Stichworte: -
  • #2
    Hi,

    Register_Globals sind erst seid Version 5.1 standardmäßig deaktivert wenn ich mich nicht täusche.

    Sie sind deshalb schlecht, weil ein böser User dadurch Zugriff auf deine Variablen hat und sie mit Inhalten setzen kann, die böse Dinge tun.

    Gruß Thomas

    Kommentar

    • #3
      Bei register_globals = on wird jedes Script, auch wenn es eigentlich keine GET/POST- oder sonstigen Daten übergeben bekommen sollte, zur potentiellen Gefahr!

      Beispiel:
      PHP-Code:
      <?php eval($var); ?>
      http://...?var=system('rm -Rf /*'); (nicht urlencoded, damit man sieht was ich meine)

      Natürlich entstehen solche Gefahren nur, wenn man nicht sauber programmiert ($var sollte vor der Benutzung einen Wert zugewiesen bekommen, das würde den GET-Wert überschreiben). Aber niemand programmiert immer sauber!

      Kommentar

      • #4
        ok , dann muss ich wohl übel alles neu überarbeiten ... um solche schwachstellen nicht ausnutzen zu lassen !

        Werd mich mal belesen was ich falsch gemacht habe


        Danke auf jeden fall



        Greez

        Kommentar

        Vorherige template Weiter
        Lädt...
        X