On Sun, 07 Sep 2003 18:57:56 +0200, Bo Dudek wrote:
> Jeg vil lige høre, om der er nogen, der kan give nogle grumme historier
> (gerne fiktive) på, hvor galt det kan gå, når register_globals er sat
> til on?
Der står lidt her:
http://www.php.net/manual/en/security.registerglobals.php
http://forums.devshed.com/t38817/s.html
> Jeg vil selvsagt ikke sætte register_globals til on, hvis det giver
> katestrofale sikkerhedsproblemer, men omvendt, så er der - desværre -
> en del steder i mine sider, der skal rettes, hvis ikke jeg gør det.
Basalt set gør register_globals ikke meget fra eller til mht sikkerheden.
Det er ikke svært at lave huller selvom register_globals er off, så det
garantere ikke noget. Hvis du laver input-checks på de variabler du
bruger i din kode, samt husker at initialisere alle dine variabler før du
bruger dem, skulle du ikke have problemer.
Jeg bruger selv altid register_globals til off (samt
error_reporting(E_ALL)). Jeg syntes det er pærnere at jeg skal "hente"
koden fra $_GET/$_POST/etc og tildele det til min egne variabler.
Dog løser "register_globals off" de problemer som der står på
php.net-linket beskriver. Selvom jeg vil mene at det er *GRIMT*, ikke at
initiere variabler før brug.
--
Dennis Møllegaard Pedersen,
PGP fingerprint = 5A23 2E7D 7F4F 7FBE 39AC CDEF 55A0 FF70 87C0 59D9