[HaBo]

mido · 07.07.03, 15:06

hi.

ich habe gehört, dass das aktivieren von register_globals ein sicherheitsrisiko bieten soll.

ist da was dran?

...ich sehe zwar keinen vorteil in der aktivierung, aber man will sich ja weiter bilden

cya.

**soox** · 14.07.03, 19:17

wenn register globals aktiviert ist kann ich eine variable übergeben mit der du schon irgendwo was machst....es müssen da zwar einige sachen aufeinanderprallen, damit sich was anfangen lässt jedoch ist es ein unnötiges sicherheitsrisiko.

Anzeige

- Anzeige -

boppy · 15.07.03, 08:42

Ich will mal kurz das Sicherheitsrisiko darstellen (für den einen ist es eins, für den anderen eben nicht...):

Man nehme an, es gibt Datei 1:

PHP-Code:

  <form method="post" action="login.php">

<input type="text" name="narf">

</form>

und nun wird in datei 2 das ganze geprüft. Viele würde schreiben (geht nur bei RegGlob on):

PHP-Code:

  <?

if($narf=="hallo") echo "alles okay...";

?>

Nun könnte man aber das script auch per /login.php?narf=Hallo steuern. Nutzt man den kompletten, RICHTIGEN syntax, treten diese fehler nicht auf:

PHP-Code:

  <?

if($_POST["narf"]=="hello") echo "alles okay...";

elseif($_GET["narf"]) echo "na, wir werden doch wohl nicht...";

?>

-- ich hoffe, das beispiel hilft die problematik zu verstehen!

mido · 15.07.03, 12:05

danke,
somit ist meine frage beantwortet

Anzeige

- Anzeige -

07.07.03, 15:06	#1 (permalink)
mido Member of Honour Registriert seit: 06.10.01 Likes: 1	[PHP] register_globals ? Anzeige hi. ich habe gehört, dass das aktivieren von register_globals ein sicherheitsrisiko bieten soll. ist da was dran? ...ich sehe zwar keinen vorteil in der aktivierung, aber man will sich ja weiter bilden cya.

15.07.03, 08:42	#3 (permalink)
boppy Member of Honour Registriert seit: 20.10.01 Likes: 0	Ich will mal kurz das Sicherheitsrisiko darstellen (für den einen ist es eins, für den anderen eben nicht...): Man nehme an, es gibt Datei 1: PHP-Code: `<form method="post" action="login.php"> <input type="text" name="narf"> </form>` und nun wird in datei 2 das ganze geprüft. Viele würde schreiben (geht nur bei RegGlob on): PHP-Code: `<? if($narf=="hallo") echo "alles okay..."; ?>` Nun könnte man aber das script auch per /login.php?narf=Hallo steuern. Nutzt man den kompletten, RICHTIGEN syntax, treten diese fehler nicht auf: PHP-Code: `<? if($_POST["narf"]=="hello") echo "alles okay..."; elseif($_GET["narf"]) echo "na, wir werden doch wohl nicht..."; ?>` -- ich hoffe, das beispiel hilft die problematik zu verstehen!

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
PHP: register_globals	keymaker	Linux/UNIX	9	21.08.04 17:25

14.07.03, 19:17	#2 (permalink)
soox Moderator Registriert seit: 17.10.01 Likes: 0	wenn register globals aktiviert ist kann ich eine variable übergeben mit der du schon irgendwo was machst....es müssen da zwar einige sachen aufeinanderprallen, damit sich was anfangen lässt jedoch ist es ein unnötiges sicherheitsrisiko.

15.07.03, 12:05	#4 (permalink)
mido Member of Honour Themenstarter Registriert seit: 06.10.01 Likes: 1	danke, somit ist meine frage beantwortet

[HaBo]

[PHP] register_globals ?