Serverkonfiguration - welche Versionen empfehlenswert?

uwe.ha · Beitrag von **uwe.ha** » 16.05.2008 11:55

So, mein Provider hat ruchzuck upgedatet. Nun habe ich:
- MySQL 5.0.51a-community-log
- Apache/2.2.8
- PHP Version 5.2.6

- suhosin ... ist auch drin
- phpsecinfo ... müsste ich selbst installieren
- mod_security ... steht im ACP bei den loaded moduls drinnen
- pecl:apc ... wurde installiert, "da aber bekannte Konkurrenzen zum Zend vorhanden sind wurde Zend deinstalliert" schreibt mein Provider.
(Im ACP ist aber noch das "Zend Engine 2"-Logo mit dem text: "This program makes use of the Zend Scripting Language Engine:
Zend Engine v2.2.0" ... ist Zend nun drinnen, oder nicht?)

Noch eine Frage zu register_globals
Wegen eines Formulars brauche ich register_globals=on
Habe ich das auf cms-sicherheit.de richtig verstanden, dass ich dann in der .htaccess im Ordner /phpBB den Eintrag

Code: Alles auswählen

# set register_globals=offphp_flag register_globals off

machen kann und damit das Problem gelöst habe?

larsneo · Beitrag von **larsneo** » 16.05.2008 12:15

Wegen eines Formulars brauche ich register_globals=on

nein, wegen register_globals=off brauchst du ein anderes formular. eine derartige sicherheitslücke auf dem server aufzureissen ist kein formular der welt wert

- phpsecinfo ... müsste ich selbst installieren

klar - damit werden dann ja auch nur die konfigurationshinweise angezeigt

uwe.ha · Beitrag von **uwe.ha** » 16.05.2008 14:26

larsneo hat geschrieben:
Wegen eines Formulars brauche ich register_globals=on
nein, wegen register_globals=off brauchst du ein anderes formular. eine derartige sicherheitslücke auf dem server aufzureissen ist kein formular der welt wert

Du hast ja Recht, aber ich als PHP-Nichtswisser war froh, dass ich es nach Tagen(!) endlich geschafft habe, ein Bestellformular mit der "berühmten" danke.php nach dem Muster

Code: Alles auswählen

<form action="danke.php" method="post" name="Bestellung">

hinzubekommen.
Wenn du mir einen Link mit einer besseren Anleitung nennst, setze ich mich gerne nochmal "tagelang" hin, um es besser/sicherer zu machen ... um dann auch register_global auf off setzen zu können

uwe.ha · Beitrag von **uwe.ha** » 16.05.2008 14:45

PS: Ich "lerne" gerade gerade unter z.B.:
http://die.netzspielwiese.de/blog/php/2 ... p-abfragen
dass ich die Daten aus dem Formular ebenso mit register_global=off an die danke.php übergeben kann, ich muss nur die $_POST verwenden.

Also (verkürzt) statt:

Code: Alles auswählen

$text_kunde = "Hallo $vorname $nachname,

(wobei $vorname das feld <input name="vorname" type="text" id="vorname" size="40"> aus dem Formular ist)
muss ich vorher in der danke.php noch $vorname neu definieren als:

Code: Alles auswählen

$vorname = $_POST[’vorname’];

... so einfach geht das und ich kann dann register_global=off setzen?

larsneo · Beitrag von **larsneo** » 16.05.2008 14:50

formmailer gibt es eigentlich wie sand am meer - zwischenzeitlich sogar bei selfhtml *klick*.

von den features her nett (z.b. auch in bezug auf die bei spammer beliebte header injection) scheint z.b. *klick* zu sein - habe ich allerdings nicht näher angeschaut (da ich standalone sripte dank postnuke in aller regel eh' nicht brauche...

uwe.ha · Beitrag von **uwe.ha** » 16.05.2008 15:09

Hallo larsneo,

es geht weniger um formMAILER; die danke.php zeigt einen Bestätigungstext an und versendet den Text an den Kunden und einen weiteren Text an mich.

Im Kundentext stand z.B.:

Code: Alles auswählen

$kundentext= " Hallo $vorname ...

wobei $vorname das feld <input name="vorname" type="text" id="vorname" size="40"> aus der bestell.php ist.

Jetzt habe ich mal - versuchshalber - auf der danke.php das feld $vorname neu definiert als:

Code: Alles auswählen

$vorname = $_POST[’vorname’];

Jetzt wird der Vorname allerdings NICHT übernommen.
Ich habe allerdings auch register_global noch auch ON !
Muss ich register_global erst auf OFF stellen, damit es richtig funktioniert?
Edit: Hab nun register_global=off ... trotzdem werden keine Werte übernommen

... darf ich mal Teile des Codes meiner beiden Dateien hier reinstellen?

uwe.ha · Beitrag von **uwe.ha** » 16.05.2008 16:13

Problem gelöst:

Ich musste statt:

Code: Alles auswählen

$vorname = $_POST[’vorname’];

nur

Code: Alles auswählen

$vorname = $_POST["vorname"];

also vorname in " statt ' ... das war's

Und jetzt funktioniert alles sogar mit global_register=off

DANKE larsneo für den "Ar...tritt"

Beitrag von **Boecki91** » 16.05.2008 17:18

uwe.hanss hat geschrieben: [...]$_POST[’vorname’]; [...]
[...] in " statt ' [...]

Du redest von 3 verschiedenen Zeichen
´ = Axon de irgendwas ->Französisches Sonderzeichen (falsch)
' = Einfaches Anführungszeichen (richtig)
" = Doppeltes Anführungszeichen (richtig, aber in dem Zusammenhang unüblich)

Die Neigung machsts

uwe.ha · Beitrag von **uwe.ha** » 16.05.2008 17:34

... da soll ich als Laie noch durchblicken ...

Das "Axon de irgendwas" stand auf netzspielwiese schon falsch drin

... die wollten mich wohl ärgern

Naja ... mit Geduld und "try & error" hat es ja dann geklappt

Aber Danke für die Aufklärung! ... ich hoffe ich denke dann irgendwann mal wieder dran

Beitrag von **Boecki91** » 16.05.2008 18:04

Mittlerweile ist es leider so das "jeder Depp" ein Tutorial schreibt, und du hast damit dann leider das nachsehen.

Ich selbst habe meine ersten Schritte bei http://tut.php-quake.net/ gemacht, wenn man das verstanden hat,ist man zwar noch lange kein Profi aber man hat die Grundlagen verstanden und durch Kapitel 20 steht einem rein Theoretisch alles offen