php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Entwicklung > PHP Developer Forum
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


PHP Developer Forum Hier habt ihr die Möglichkeit, eure Skriptprobleme mit anderen Anwendern zu diskutieren. Seid so fair und beantwortet auch Fragen von anderen Anwendern. Dieses Forum ist sowohl für ANFÄNGER als auch für PHP-Profis! Fragen zu Laravel, YII oder anderen PHP-Frameworks.

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #1 (permalink)  
Alt 18-12-2008, 15:15
jens76
 Member
Links : Onlinestatus : jens76 ist offline
Registriert seit: Dec 2004
Beiträge: 328
jens76 ist zur Zeit noch ein unbeschriebenes Blatt
Standard Diskusion: RegisterGlobal = On umgehen....

Hallo,

ich muß da mal eine Diskusion anstoßen und eure meinung dazu erfragen...

also ich habe ein php-programm (mehr als 30.000 zeilen). In diesem werden alle übergeben werte noch per globalregister=on umgewandelt. das dies ein sicherheitsrisiko ist, ist mir klar! Da es aber nicht so einfach ist diese masse an datein und zeilen auf anhieb umzuschreiben, habe ich mir überlegt eine Art filter vorzuschalten...

also so ungefähr über folgenden code:

PHP-Code:
foreach ($_REQUEST as $key=>$value) {
    
$GLOBALS[$key] = $value

dieser wird in einer config-datei ausgeführt, die immer am anfang jedes scriptes steht.
natürlich würde ich rein von der prüfung her $key und $value noch auf bestimmte längen prüfen. aber im großen und ganzen solle es das schon gewesen sein.

Also abgesehen von der schrittweisen anpassung der Datein fällt mir jetzt keine bessere lösung ein, um das ganze auch bei registerglobal=OFF laufen zu lassen.

was meint Ihn dazu?

Meinungen bedenken usw wären hier gefragt und gewünscht!

Danke
Mit Zitat antworten
  #2 (permalink)  
Alt 18-12-2008, 15:52
combie
 PHP Expert
Links : Onlinestatus : combie ist offline
Registriert seit: May 2006
Beiträge: 3.296
combie wird schon bald berühmt werden
Standard

Zitat:
was meint Ihn dazu?

Meinungen bedenken usw wären hier gefragt und gewünscht!
Offensichtlich begehst du eine Dummheit. Die Rache wird folgen.
Aber du willst es ja so....
Hiermit kannst du die Dummheit weiter optimieren: import_request_variables()
__________________
Wir werden alle sterben
Mit Zitat antworten
  #3 (permalink)  
Alt 18-12-2008, 17:59
PHP-Desaster
 PHP Expert
Links : Onlinestatus : PHP-Desaster ist offline
Registriert seit: Mar 2006
Beiträge: 3.105
PHP-Desaster befindet sich auf einem aufstrebenden Ast
Standard

Ich kann schon verstehen, dass du die 30k Zeilen nicht alle durchgehen willst, aber damit kannst du dieses Sicherheitsrisiko erstmal ausschließen und bist kompatibel zu kommenden PHP-Versionen.
Mit Zitat antworten
  #4 (permalink)  
Alt 18-12-2008, 21:09
SLind
 Newbie
Links : Onlinestatus : SLind ist offline
Registriert seit: Jul 2003
Ort: Bonn
Beiträge: 12
SLind ist zur Zeit noch ein unbeschriebenes Blatt
SLind eine Nachricht über ICQ schicken
Standard

Ich würde es Dir zwar auch nicht empfehlen, aber wie combie schon schreibt mit

PHP-Code:
import_request_variables('gpc','prefix_'); 
kannst du $_GET (g), $_POST (p) und $_COOKIES (c) importieren. Die Buchstaben g, p und c kannst Du auch aus dem ersten String entfernen, um das jeweilige Array nicht zu importieren. Der zweite String "prefix_" wird vor den Variablennamen gesetzt (z.B. um ein Überschreiben von vorhandenen Variablen zu vermeiden -> $prefix_parameter)

Wenn Du willst, dass sich der Wert in $_GET['parameter'] nicht ändert, wenn Du $parameter veränderst, dann benutze stattdessen

PHP-Code:
extract($_GET); 
Deine Skripte musst Du aber auf jeden Fall überarbeiten, denn wenn Du die Variablen importierst, dann musst Du sicherstellen, dass eine beliebe Vorbelegung jeder Variablen egal ist!

Sollte die Vorbelegung nicht egal sein, dann füge ein

PHP-Code:
unset($variable); 
vorher ein.

Trotzdem lohnt sich die Umstellung, wenn das Skript noch lange funktionieren soll!

Viele Grüße

SLind
Mit Zitat antworten
  #5 (permalink)  
Alt 18-12-2008, 21:19
Griecherus
 PHP Senior
Links : Onlinestatus : Griecherus ist offline
Registriert seit: May 2005
Ort: Berlin
Beiträge: 1.036
Griecherus ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Original geschrieben von PHP-Desaster
Ich kann schon verstehen, dass du die 30k Zeilen nicht alle durchgehen willst, aber damit kannst du dieses Sicherheitsrisiko erstmal ausschließen und bist kompatibel zu kommenden PHP-Versionen.
Genau, ab PHP6 ist nämlich endgültig Schluss mit register_globals. Sollen deine Skripte also auch für die zukünftigen Versionen funktionieren, musst du früher oder später (besser früher) ohnehin ran an die Zeilen.


Grüße
Mit Zitat antworten
  #6 (permalink)  
Alt 18-12-2008, 21:42
PHP-Desaster
 PHP Expert
Links : Onlinestatus : PHP-Desaster ist offline
Registriert seit: Mar 2006
Beiträge: 3.105
PHP-Desaster befindet sich auf einem aufstrebenden Ast
Standard

Ich würde sowas nicht als Last ansehen, sondern sogar als Chance. Du kannst alles noch einmal durchgehen, den Code E_NOTICE-Kompatibel machen, alte Fehler beseitigen, etc. Das einzige "Problem" ist der zeitliche Aufwand.
Mit Zitat antworten
  #7 (permalink)  
Alt 19-12-2008, 04:21
pekka
 PHP Master
Links : Onlinestatus : pekka ist offline
Registriert seit: Jun 2001
Ort: Köln
Beiträge: 6.608
pekka befindet sich auf einem aufstrebenden Ast
Standard

Ich stimme meinen Vorrednern zu. Beiß lieber jetzt in den sauren Apfel und räums auf. Alles andere ist Käse.
Mit Zitat antworten
  #8 (permalink)  
Alt 19-12-2008, 18:02
jens76
 Member
Links : Onlinestatus : jens76 ist offline
Registriert seit: Dec 2004
Beiträge: 328
jens76 ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Danke euch für die anregungen!

das umschreiben habe ich ja bereits begonnen, aber bei 30k zeilen muß auch jedes umschreiben nochmal getestet werden. zumal das programm ja nicht von mir geschrieben wurde, sondern nur weiterentwickelt wird.

MfG

Jens
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni

Wissensbestand in Unternehmen
Wissensbestand in UnternehmenLebenslanges Lernen und Weiterbilden sichert Wissensbestand in Unternehmen

25.05.2018 | Berni


 

Aktuelle PHP Scripte

Top-Side Guestbook

Gästebuch auf Textbasis (kein MySQL nötig) mit Smilies, Ip Sperre (Zeit selbst einstellbar), Spamschutz, Captcha (Code-Eingabe), BB-Code, Hitcounter, Löschfunktion, Editierfunktion, Kommentarfunktion, Kürzung langer Wörter, Seiten- bzw. Blätterfunktion, V

22.10.2018 webmaster10 | Kategorie: PHP/ Gaestebuch
ebiz-trader 6.0 - Das professionelle PHP Marktplatz Script ansehen ebiz-trader 6.0 - Das professionelle PHP Marktplatz Script

Mit unserer Lösungen können Sie nahezu jeden B2B / B2C Marktplatz betreiben den Sie sich vorstellen können. Ganz egal ob Sie einen Automarktplatz, Immobilenportal oder einfach einen Anzeigenmarkt betreiben möchten. Mit ebiz-trader können Sie Ihre Anforder

11.10.2018 Berni | Kategorie: PHP/ Anzeigenmarkt
PHP Server Monitor

PHP Server Monitor ist ein Skript, das prüft, ob Ihre Websites und Server betriebsbereit sind.

11.09.2018 Berni | Kategorie: PHP/ Security
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 07:40 Uhr.