register_globals auf off ohne php.ini zugriff
- Themenstarter Blobb
- Beginndatum
Danke Bob.
Genaus sowas wollte ich hören.
@ Oliver
Nun, was ich so lese und dem glauben schenke.
Dann schütz das setzen auf OFF vor Injektionen deutlich mehr als wenn sie ON sind.
Und wenn der Sicherheitsfaktor nur 1% höher liegt dann nehm ich die 1% einfach mit.
Kannst mich aber gerne darüber aufklären wieso man es nicht nutzen sollte.
Vielleicht hab ich beim lesen der Reaktionen zu setzen auf On was nicht verstanden oder übersehen.
Wie gesagt, ich bin nicht Perfekt .. ich mache gerne Fehler daher geh ich lieber auf Nummer sicher.
Auch wenns nicht viel bringen sollte.
Aber selbst mein Hoster 1und1 sagt das sie in kommenden Versionen die register auf OFF setzen wollen.
Also muss schon was dran sein und bis das soweit ist geh ich dem ganzen etwas vor.
Sofern ich es überhaupt kann dies durch .htaccess zu verändern.
Das muss ich erst mal testen
Genaus sowas wollte ich hören.
@ Oliver
Nun, was ich so lese und dem glauben schenke.
Dann schütz das setzen auf OFF vor Injektionen deutlich mehr als wenn sie ON sind.
Und wenn der Sicherheitsfaktor nur 1% höher liegt dann nehm ich die 1% einfach mit.
Kannst mich aber gerne darüber aufklären wieso man es nicht nutzen sollte.
Vielleicht hab ich beim lesen der Reaktionen zu setzen auf On was nicht verstanden oder übersehen.
Wie gesagt, ich bin nicht Perfekt .. ich mache gerne Fehler daher geh ich lieber auf Nummer sicher.
Auch wenns nicht viel bringen sollte.
Aber selbst mein Hoster 1und1 sagt das sie in kommenden Versionen die register auf OFF setzen wollen.
Also muss schon was dran sein und bis das soweit ist geh ich dem ganzen etwas vor.
Sofern ich es überhaupt kann dies durch .htaccess zu verändern.
Das muss ich erst mal testen
Oliver Gringel
Erfahrenes Mitglied
Sicher ist es ein Sicherheitsrisiko, wenn register_globals an ist, aber nur, wenn man es auch benutzt. Wenn man GET oder POST-Variablen einfach durch $variable abfrägt, dann ist das ein Sicherheitsrisiko, wenn man die Variablen aber per $_GET['variable'] bzw. $_POST['variable'] abfrägt, ist es vollkommen egal, ob register_globals an oder aus ist.
BobDerMeister
Erfahrenes Mitglied
wenn man zB sowas gecodet hat:
wenn nun $user->valid_user() false zurückgibt und der böse User die Seite mit seite.php?user_is=admin aufruft sieht er die admin optionen obwohl er garnicht eingeloggt ist. also entweder register_globals off (was im übrigen mitlerweile php standard ist) oder so programmieren das sowas nicht passieren kann - und das kann zu ner menge Arbeit werden.
(ich weis das der Code eine Warnung ausgibt sofern error_reporting nicht abgeschaltet ist)
PHP:
if($user->valid_user($name, $pw)) {
...
if($user->user_status == 'admin') {
$user_is = 'admin';
} else {
$user_is = 'kein admin';
}
...
}
...
if($user_is == 'admin') {
mach_was_das_ein_nicht_admin_auf_keinen_fall_sehen_darf();
}wenn nun $user->valid_user() false zurückgibt und der böse User die Seite mit seite.php?user_is=admin aufruft sieht er die admin optionen obwohl er garnicht eingeloggt ist. also entweder register_globals off (was im übrigen mitlerweile php standard ist) oder so programmieren das sowas nicht passieren kann - und das kann zu ner menge Arbeit werden.
(ich weis das der Code eine Warnung ausgibt sofern error_reporting nicht abgeschaltet ist)
