register_globals=on umgehen ... aber wie?

fanrpg · Beitrag von **fanrpg** » 23.12.2005 20:06

shizo hat geschrieben:um mal bei meinem tut zu bleiben:

mit register_globals=on gehts.

so, was bringt das jetz für nachteile?

und gibt es eine möglichkeit das zum laufen zu bringen ohne die register globals anzumachen?

bei register_globals=on kann jeder deine Variabeln im Script ändern wenn man weiss wie, das heisst mit Inhalt überschreiben der nicht erwünscht ist oder die include funktion manipulieren das man fremde scripts einschleust. ect.

shizo · Beitrag von **shizo** » 23.12.2005 20:13

ehm ja ok, aber müsste derjenige dann nicht ftp zugang oder so haben? O.o oder machen solche leute das irgednwie anders?

ist das eine große gefahr?

fanrpg · Beitrag von **fanrpg** » 23.12.2005 22:55

shizo hat geschrieben:ehm ja ok, aber müsste derjenige dann nicht ftp zugang oder so haben? O.o oder machen solche leute das irgednwie anders?

ist das eine große gefahr?

zu 1. Nein kein FTP Zugang alles über das PHP Script

zu 2. Ja ziemlich gross ausser man sichert sich gegen solche Angriffe, aber das verbraucht sehr viel Platz aufm Script, deswegen lieber register_globals=off und man spart sich so einiges an Ärger.

shizo · Beitrag von **shizo** » 24.12.2005 19:41

ja ok aber gibt es denn jetz eine möglichkeit das zu lösen ohne die register globals anzumachen?

shizo · Beitrag von **shizo** » 25.12.2005 17:25

keine ideen?

also das problem ist, dass die register globals eben ON sind und da ich das auch nicht für besonders sucher halte hätte ich gerne ein fuktionierendes skript mit register_globals OFF

hat jemand eine idee wie es fuktionieren könnte?

shwepsi · Beitrag von **shwepsi** » 25.12.2005 21:20

am einfachsten solltest du sicher gehen das ALLE Variablen im Script von dir belegt werden

wenn du zum beispiel Variablen benutzt, die du überprüfst ob sie schon inhalt haben kann hier ein hacker einen Wert angeben.
Sagst du aber am anfang des Scriptes das die entsprechende Variable = 0 oder '' ist, dann wird das 'gehackte' überschrieben und der Angriff war wirkungslos.

shizo · Beitrag von **shizo** » 25.12.2005 21:49

also erstmal danke für die antwort!

zweitens habe ichleider nicht genau verstanden was du meinst!

ich muss ALLE variablen in ALLEN dateien in meienm skript umschreiben? richtig? aber wie?

mfg
und danke für antworten!
alex

shwepsi · Beitrag von **shwepsi** » 26.12.2005 03:53

schau dir da mal die Beispiele an, die sind ziemlich klar und sehr gut erklärt:

http://de.php.net/register_globals

das dürfte dir gleich zeigen was du machen musst (bsp. 3)
ausserdem sind da auch alle wichtigen Variablen aufgezählt

Viel Erfolg