register_globals=off

**Meillo** · 07.11.2005, 11:27

wenn dein Provider erlaubt, dass du die Einstellung per .htaccess ändern darfst, dann kannst du es beliebig einstellen.

**shaft** · 07.11.2005, 11:36

Also, hab grad nochmal meinen Provider gefragt...ich darf alles machen...die wissen tatsächlich selber nicht wie des geht, dass nur meine Hoempage auf register_globals=on gestellt wird! Was müssen die da machen?

Die meinten sie können nur alle auf on stellen und die einzelnen Kunden müssen es selber für sich wieder auf off stellen? Stimmt das?

**jahlives** · 07.11.2005, 11:48

Aber warum denn register_globals on ? Es wird nicht umsonst als Sicherheitsproblem angesehen. Ist zwar etwas Arbeit, aber du kannst doch dein Script register_globals off-kombatibel machen. Dann bieten deine Scripts auch weniger Angfriffsfläche.

Gruss

tobi

**shaft** · 07.11.2005, 12:02

Das Problem ist, dass ich mich einfach zu wenig mit php auskenne um das vorhanden Script umzuschreiben. Vielleicht erklär ich mal was ich machen will:

Ich habe unsere Abipage überarbeitet und möchte da einen internen Bereich einrichten. Das heißt, dass manche Seiten nur aufgerufen werden können wenn man sich eingeloggt hat. Die Daten die "gesperrt" sind, sind jetzt nicht so brisant...sie sollen halt nur nicht gleich jedem angezeigt werden. Mit htaccess hab ich es vorher gemacht, doch will ich jetzt, dass Leute sich anmelden bzw registrieren können, ich sie freischalte und einen Überblick hab wer wann die Seiten aufgerufen hat. Ich hab dafür ein schönes Script gefunden: FA PASS. Doch wie gesagt, des braucht register_globals=on!

Was würdest du mir empfehlen?

**onemorenerd** · 07.11.2005, 12:58

rgon.php:

PHP-Code:


<?php

if (!ini_get('register_globals')) {

    $vo = ini_get('variables_order');

    $vn = array('E' => '_ENV', 'G' => '_GET', 'P' => '_POST', 

                'C' => '_COOKIE', 'S' => '_SESSION');

    for ($i = 0; $i < strlen($vo); $i++)

        if ( is_array(${'HTTP_'.$vn[$vo{$i}].'_VARS'}) ) 

            extract(${'HTTP_'.$vn[$vo{$i}].'_VARS'});

        elseif ( is_array(${$vn[$vo{$i}]}) ) 

            extract(${$vn[$vo{$i}]});

}

?>

In deinen Scripten einfach folgende Zeile ganz oben (nach dem <? bzw. <?php) einfügen:

PHP-Code:


require_once 'rgon.php';

**jahlives** · 07.11.2005, 13:00

Wenn du ein Script verwenden willst, welches potentielle Sicherheitsrisiken hat, dann ist das deine Sache.
Aber hier bei php-resource gibts gaaaanz bestimmt so etwas wie ein Tutorial für einen Login und ich bin sicher der verlangt keine register_globals on
Ausserdem beim Selberstricken lernt man die tollsten Sachen

My 5 cents: Register_globals on === Sch.....

Gruss

tobi

**Meillo** · 07.11.2005, 13:09

Original geschrieben von shaft
Also, hab grad nochmal meinen Provider gefragt...die wissen tatsächlich selber nicht wie des geht, dass nur meine Hoempage auf register_globals=on gestellt wird!

... was ist denn das für ein Provider - keine Ahnung vom Apache *kopfschüttel*

Was müssen die da machen? Die meinten sie können nur alle auf on stellen und die einzelnen Kunden müssen es selber für sich wieder auf off stellen? Stimmt das?

es muss auch andersrum gehen.
Die müssen in der apache-config die allowoverride-Settings entsprechend setzen und du musst dann in deinen Documentroot eine .htaccess erstellen in der die register_globals-Eigenschaft entsprechend gesetzt wird.
(alles AFAIR ... musst halt selbst nochmal genau nachschauen)

--

JEDOCH:
es ist wie die anderen schon erwähnten _nicht_ sinnvoll die globals automatisch zu registrieren! .... und es ist auch nicht soo schwierig dein Script anzupassen .... also, überleg's dir nochmal.

**shaft** · 07.11.2005, 20:52

Ok, ihr habt mich überzeugt...ich les mich da jetzt einfach mal rein...irgendwie werd ich mir so ein Script schon zusammen basteln können! :-)

Trotzdem danke nochmal für eure Hilfe!

Grüssle Alex

register_globals=off