phpBB.de

phpBB.de - Die deutsche phpBB-Community
https://www.phpbb.de/community/

register_globals=on umgehen ... aber wie?

https://www.phpbb.de/community/viewtopic.php?t=107114

Seite 2 von 2

Verfasst: 23.12.2005 20:06
von fanrpg
shizo hat geschrieben:um mal bei meinem tut zu bleiben:

mit register_globals=on gehts.

so, was bringt das jetz für nachteile?

und gibt es eine möglichkeit das zum laufen zu bringen ohne die register globals anzumachen?
bei register_globals=on kann jeder deine Variabeln im Script ändern wenn man weiss wie, das heisst mit Inhalt überschreiben der nicht erwünscht ist oder die include funktion manipulieren das man fremde scripts einschleust. ect.

Verfasst: 23.12.2005 20:13
von shizo
ehm ja ok, aber müsste derjenige dann nicht ftp zugang oder so haben? O.o oder machen solche leute das irgednwie anders?

ist das eine große gefahr?

Verfasst: 23.12.2005 22:55
von fanrpg
shizo hat geschrieben:ehm ja ok, aber müsste derjenige dann nicht ftp zugang oder so haben? O.o oder machen solche leute das irgednwie anders?

ist das eine große gefahr?
zu 1. Nein kein FTP Zugang alles über das PHP Script

zu 2. Ja ziemlich gross ausser man sichert sich gegen solche Angriffe, aber das verbraucht sehr viel Platz aufm Script, deswegen lieber register_globals=off und man spart sich so einiges an Ärger.

Verfasst: 24.12.2005 19:41
von shizo
ja ok aber gibt es denn jetz eine möglichkeit das zu lösen ohne die register globals anzumachen?

Verfasst: 25.12.2005 17:25
von shizo
keine ideen?

also das problem ist, dass die register globals eben ON sind und da ich das auch nicht für besonders sucher halte hätte ich gerne ein fuktionierendes skript mit register_globals OFF

hat jemand eine idee wie es fuktionieren könnte?

Verfasst: 25.12.2005 21:20
von shwepsi
am einfachsten solltest du sicher gehen das ALLE Variablen im Script von dir belegt werden

wenn du zum beispiel Variablen benutzt, die du überprüfst ob sie schon inhalt haben kann hier ein hacker einen Wert angeben.
Sagst du aber am anfang des Scriptes das die entsprechende Variable = 0 oder '' ist, dann wird das 'gehackte' überschrieben und der Angriff war wirkungslos.

Verfasst: 25.12.2005 21:49
von shizo
also erstmal danke für die antwort!

zweitens habe ichleider nicht genau verstanden was du meinst! ;-)

ich muss ALLE variablen in ALLEN dateien in meienm skript umschreiben? richtig? aber wie?

mfg
und danke für antworten!
alex

Verfasst: 26.12.2005 03:53
von shwepsi
schau dir da mal die Beispiele an, die sind ziemlich klar und sehr gut erklärt:

http://de.php.net/register_globals

das dürfte dir gleich zeigen was du machen musst (bsp. 3)
ausserdem sind da auch alle wichtigen Variablen aufgezählt

Viel Erfolg
Alle Zeiten sind UTC+02:00
Seite 2 von 2

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de