phpBB.de

Örgs. Ich bin zwar auch ein neugieriger Mensch und würde gerne wissen, was Tobi da nun angestellt hat -
aber die Sicherheitsfrage brennt mir doch ein wenig mehr unter den Nägeln:

faraday hat geschrieben:Ich habe statt $_SERVER['PHP_SELF'] nun "$_SERVER['SCRIPT_NAME']" verwendet. Dies ist auf jedenfall die sicherere Variante.

Ist das Sicherheitsrisiko ausgeräumt, wenn man die vorgeschlagene Änderung vornimmt?

Gruß
Sepp

Hier mal eine Info zum Sicherheitsrisiko bei der Verwendung von PHP_SELF: http://www.mc2design.com/blog/php_self- ... ternatives

Ansonsten vielleicht auch informativ: http://www.php.net/manual/de/reserved.v ... .php#55068 Laut einigen Aussagen muss SCRIPT_NAME aber nicht auf jedem Server auch tatsächlich gesetzt sein.

Danke, gn#36! Ob ich das nun alles richtig verstanden habe...
Als Nicht-so-Experte habe ich jetzt einfach mal die oben vorgeschlagene Änderung vorgenommen und auf den ersten Blick auch nach Cache-Leerung und Neuanmeldung etc. keine nachteiligen Folgen festgestellt. Scheint also zumindest bei mir mit dieser Änderung getan zu sein.

Allerdings lautete vor meiner Änderung die fragliche Code-Passage in der includes/functions.php im Ganzen zumindest bei mir: Will sagen: $_SERVER['PHP_SELF'] wird auch vorher schon für die U_SELF_URL benutzt. Allerdings habe ich in meinen Forendateien keine Stelle gefunden, an der diese Variable überhaupt benutzt wird.
Kann mir da (außer dem derzeit nicht erreichbaren Mod-Autor) noch jemand etwas zu sagen?
Sollte ich die auch ändern?

Gruß
Sepp

Wenn es in keinem Template benutzt wird ist es zwar egal aber falls sich das mal ändert kannst du es dort ja vorsorglich auch mal ändern.

Danke!!
Habe ich dann gerade mal erledigt und auch bei dieser Änderung (etwas weniger überraschend) scheint alles geklappt zu haben.

Sepp