Register Globals On, wie schreibe ich das um?
-
- Mitglied
- Beiträge: 41
- Registriert: 31.12.2008 17:09
Register Globals On, wie schreibe ich das um?
Hallo,
mein Problem ist folgendes: Ich habe auf meinem Server Joomla, phpBB, drupal,...
Jetzt habe ich eine neue Seite dazu bekommen. Diese erfordert aber "Register Globals: On". Ich hätte aber das ganze lieber Off, wegen der Sicherheit.
Da ich noch Ferien habe, habe ich genügend Zeit dieses Script umzuschreiben, da ich gehört habe, dass ich "nur" Variablen ausstauschen muss. Könnt ihr mir sagen, was ich gegen was austauschen müsste?
(Ich habe da mal gehört ich müsste alle "$" gegen "$_GET" austauschen. Stimmt das? Wenn ich richtig verstehe, müsste ich das dann in allen .php Dateien machen, oder?)
floo
mein Problem ist folgendes: Ich habe auf meinem Server Joomla, phpBB, drupal,...
Jetzt habe ich eine neue Seite dazu bekommen. Diese erfordert aber "Register Globals: On". Ich hätte aber das ganze lieber Off, wegen der Sicherheit.
Da ich noch Ferien habe, habe ich genügend Zeit dieses Script umzuschreiben, da ich gehört habe, dass ich "nur" Variablen ausstauschen muss. Könnt ihr mir sagen, was ich gegen was austauschen müsste?
(Ich habe da mal gehört ich müsste alle "$" gegen "$_GET" austauschen. Stimmt das? Wenn ich richtig verstehe, müsste ich das dann in allen .php Dateien machen, oder?)
floo
Re: Register Globals On, wie schreibe ich das um?
Register Globals sorgt dafür das du schreiben kannst
wenn du RG abstellst kommt nichts raus.
dafür musstest du z.B. $_GET['input'] eingeben.
Die Gefahr bei RG ist das wenn eine Varable vorher nicht verwendet wird und dann z.B. in eine SQL Abfrage eingesetzt wird, kann der Angreifer böse Dinge damit anstellen Somit ist das Umschreiben aller Variabelen nicht sinnvoll, man muss bestimmte umschreiben und auch sonst die Sicherheit prüfen, sonst hat man die RGs zwar aus aber immer noch das gleiche Problem.
Code: Alles auswählen
<?php
//Aufruf z.B. mit test.php?input=hallo
echo $input
//Ausgabe: hallo
?>
dafür musstest du z.B. $_GET['input'] eingeben.
Die Gefahr bei RG ist das wenn eine Varable vorher nicht verwendet wird und dann z.B. in eine SQL Abfrage eingesetzt wird, kann der Angreifer böse Dinge damit anstellen Somit ist das Umschreiben aller Variabelen nicht sinnvoll, man muss bestimmte umschreiben und auch sonst die Sicherheit prüfen, sonst hat man die RGs zwar aus aber immer noch das gleiche Problem.
Standart: Am besten mit beiden Beinen auf dem Boden
Standardmäßig antworte ich nicht auf PMs
Standardmäßig antworte ich nicht auf PMs
-
- Mitglied
- Beiträge: 41
- Registriert: 31.12.2008 17:09
Re: Register Globals On, wie schreibe ich das um?
Hallo Boecki!
Wenn ich das richtig verstanden habe, müsste der Code danach, so aussehen, oder?
@RG: Die eine Seite ist mir eher egal. Wenn dann mache ich das eher um die restlichen Seiten ohne RG auskommen zu lassen. Sie also so zu lassen, wie sie jetzt sind.
floo
Wenn ich das richtig verstanden habe, müsste der Code danach, so aussehen, oder?
Code: Alles auswählen
<?php
//Aufruf z.B. mit test.php?input=hallo
echo $_GETinput
//Ausgabe: hallo
?>
floo
- Frank1604
- Ehemaliges Teammitglied
- Beiträge: 2106
- Registriert: 07.11.2007 09:25
- Wohnort: Einhausen
- Kontaktdaten:
Re: Register Globals On, wie schreibe ich das um?
nee, nicht ganz!absoluternoob hat geschrieben:Code: Alles auswählen
echo $_GETinput
Code: Alles auswählen
echo $_GET['input'];
Gruß, Frank
Meine Meinung steht fest. Bitte verwirrt mich nicht mit Tatsachen!
Meine Meinung steht fest. Bitte verwirrt mich nicht mit Tatsachen!
-
- Mitglied
- Beiträge: 41
- Registriert: 31.12.2008 17:09
Re: Register Globals On, wie schreibe ich das um?
Muss der Inhalt unter ' stehen, oder ist das jetzt nur beim Beispiel?
Re: Register Globals On, wie schreibe ich das um?
Hallo,
ähm, hier mal ein kleiner Hinwesi auf ein paar "Grundlagen" -->
http://tut.php-quake.net/de/output.html
http://tut.php-quake.net/de/get.html
ähm, hier mal ein kleiner Hinwesi auf ein paar "Grundlagen" -->
http://tut.php-quake.net/de/output.html
http://tut.php-quake.net/de/get.html
Re: Register Globals On, wie schreibe ich das um?
Du kannst das aber nicht überall machen, würde es so einfach sein könnte man auch ein automatisches Programm schreiben
Standart: Am besten mit beiden Beinen auf dem Boden
Standardmäßig antworte ich nicht auf PMs
Standardmäßig antworte ich nicht auf PMs
Re: Register Globals On, wie schreibe ich das um?
Es ist möglich, dass $_GET nicht ausreicht. Die meisten formulare verwenden POST. Also müsste man dort zum auswerten $_POST verwenden.
Damit man diesen unterschied nicht machen muss, ist es auch möglich $_REQUEST zu verwenden. Das beinhaltet $_POST, $_GET und $_COOKIE.
Damit man diesen unterschied nicht machen muss, ist es auch möglich $_REQUEST zu verwenden. Das beinhaltet $_POST, $_GET und $_COOKIE.