Kandu.dk - Farer ved register


/ Forside / Teknologi / Udvikling / PHP / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

PHP

#	Navn	Point
1	rfh	3959
2	natmaden	3372
3	poul_from	3310
4	funbreak	2700
5	stone47	2230
6	Jin2k	1960
7	Angband	1743
8	Bjerner	1249
9	refi	1185
10	Interkril..	1146

Farer ved register_globals=on
Fra : Bo Dudek

Dato : 07-09-03 17:58

Hej

Jeg vil lige høre, om der er nogen, der kan give nogle grumme
historier (gerne fiktive) på, hvor galt det kan gå, når
register_globals er sat til on?

Sagen er den, at jeg har et par websites, som tidligere har kørt på en
server, hvor register_globals har været on. Nu har jeg flyttet dem til
en server, hvor jeg selv kan styre register_globals.

Jeg vil selvsagt ikke sætte register_globals til on, hvis det giver
katestrofale sikkerhedsproblemer, men omvendt, så er der - desværre -
en del steder i mine sider, der skal rettes, hvis ikke jeg gør det.

Anyone?

Mvh
Bo Dudek
www.bodudek.dk

Johan Holst Nielsen (07-09-2003)

Kommentar
Fra : Johan Holst Nielsen

Dato : 07-09-03 20:07

Bo Dudek wrote:
> Jeg vil lige høre, om der er nogen, der kan give nogle grumme
> historier (gerne fiktive) på, hvor galt det kan gå, når
> register_globals er sat til on?
>
> Sagen er den, at jeg har et par websites, som tidligere har kørt på en
> server, hvor register_globals har været on. Nu har jeg flyttet dem til
> en server, hvor jeg selv kan styre register_globals.
>
> Jeg vil selvsagt ikke sætte register_globals til on, hvis det giver
> katestrofale sikkerhedsproblemer, men omvendt, så er der - desværre -
> en del steder i mine sider, der skal rettes, hvis ikke jeg gør det.

Så længe man har 100% styr på sine variabler bør der i princippet ikke
være et problem :)

Men PHP har selv noget om sagen :)
http://www.php.net/manual/en/security.registerglobals.php

Og Google er din ven:
<http://www.google.dk/search?q=register+globals+security&ie=UTF-8&oe=UTF-8&hl=da&meta=>

mvh
johan

Dennis Møllegaard Pe~ (07-09-2003)

Kommentar
Fra : Dennis Møllegaard Pe~

Dato : 07-09-03 20:22

On Sun, 07 Sep 2003 18:57:56 +0200, Bo Dudek wrote:

> Jeg vil lige høre, om der er nogen, der kan give nogle grumme historier
> (gerne fiktive) på, hvor galt det kan gå, når register_globals er sat
> til on?

Der står lidt her:
http://www.php.net/manual/en/security.registerglobals.php
http://forums.devshed.com/t38817/s.html

> Jeg vil selvsagt ikke sætte register_globals til on, hvis det giver
> katestrofale sikkerhedsproblemer, men omvendt, så er der - desværre -
> en del steder i mine sider, der skal rettes, hvis ikke jeg gør det.

Basalt set gør register_globals ikke meget fra eller til mht sikkerheden.
Det er ikke svært at lave huller selvom register_globals er off, så det
garantere ikke noget. Hvis du laver input-checks på de variabler du
bruger i din kode, samt husker at initialisere alle dine variabler før du
bruger dem, skulle du ikke have problemer.

Jeg bruger selv altid register_globals til off (samt
error_reporting(E_ALL)). Jeg syntes det er pærnere at jeg skal "hente"
koden fra $_GET/$_POST/etc og tildele det til min egne variabler.

Dog løser "register_globals off" de problemer som der står på
php.net-linket beskriver. Selvom jeg vil mene at det er *GRIMT*, ikke at
initiere variabler før brug.

--
Dennis Møllegaard Pedersen,
PGP fingerprint = 5A23 2E7D 7F4F 7FBE 39AC CDEF 55A0 FF70 87C0 59D9

Bo Dudek (07-09-2003)

Kommentar
Fra : Bo Dudek

Dato : 07-09-03 22:32

[...]

>at initialisere alle dine variabler

... ehm.. er det normalt settype($var,"string") osv. man bruger eller
er der alternativer?

Mvh
Bo Dudek
www.bodudek.dk

Dennis Møllegaard Pe~ (07-09-2003)

Kommentar
Fra : Dennis Møllegaard Pe~

Dato : 07-09-03 22:58

On Sun, 07 Sep 2003 23:32:28 +0200, Bo Dudek wrote:

>
>>at initialisere alle dine variable
> .. ehm.. er det normalt settype($var,"string") osv. man bruger eller
> er der alternativer?

Nej jeg tænker nærmere på:

$var = '';

Hvis brugeren så kalder dit script
domain/url.php?var=noget+skadeligt

Så vil din initialisering fjerne "noget skadeligt". Basalt set, drejer det
bare om at holde en god programmeringsskik, og som alle andre steder, bør
man altid sætte sine værdier til noget. Ikke antage de er tomme (det vil
de jo være med mindre man sætter den til en værdi i url'en - hvilket
"register_globals off" løser).

--
Dennis Møllegaard Pedersen,
PGP fingerprint = 5A23 2E7D 7F4F 7FBE 39AC CDEF 55A0 FF70 87C0 59D9

Kim Emax (07-09-2003)

Kommentar
Fra : Kim Emax

Dato : 07-09-03 23:03

Dennis Møllegaard Pedersen wrote:

> Så vil din initialisering fjerne "noget skadeligt". Basalt set,
> drejer det bare om at holde en god programmeringsskik, og som alle
> andre steder, bør man altid sætte sine værdier til noget. Ikke antage
> de er tomme (det vil de jo være med mindre man sætter den til en
> værdi i url'en - hvilket "register_globals off" løser).

Kod i klasser, så er man ude over problemet Glad

--
Take Care
Kim Emax - master|minds: http://www.masterminds.dk
http://www.emax.dk - http://www.ayianapa.dk
Køb din vin online på http://www.gmvin.dk,
Danmarks måske mest avancerede VinWebShop

Søg

Reklame

Statistik

Spørgsmål :	177552
Tips :	31968
Nyheder :	719565
Indlæg :	6408849
Brugere :	218887

Månedens bedste

Årets bedste

Sidste års bedste