Forum
Portal (2.446) · Forum (663)
[PHP] Globals Register On
- Ersteller Gebarle
- Erstellt am
- 20 April 2006
- 22.682
- 1.316
Und genau aus diesem Grunde ist es wohl das beste, dass diese Einstellung auf "off" bleibt
Lies dir im Manual die entsprechenden Pages für die Gründe dafür durch.
P.S. in der nächsten PHP-Version gibt es die Einstellung nicht mehr. Da ist die automatische Registrierung globaler Variablen auf alle Ewigkeit deaktiviert
Spätestens da wirst du lernen müssen, korrekt zu programmieren.P.P.S. FG §2: Übertreibungen im Threadtitel sind nicht gestattet. Danke für die Zukunft.
theHacker versteht dich schon sehr gut, nur anscheinend du ihn nicht
Er wollte dir nur klar machen, dass dein Script mit Register Globals ON viel unsicherer ist ...
theHacker versteht dich schon sehr gut, nur anscheinend du ihn nicht
Er wollte dir nur klar machen, dass dein Script mit Register Globals ON viel unsicherer ist ...
Ja aber habe auch gelesen das is im Prinzip keine gefahr ist wenn das script fehlerfrei geproggt wurde,
Weil wenn nicht auf on Steht funkt mein Script nicht . dann nützt es mir auch nichts wenn es sicherer ist
- 20 April 2006
- 22.682
- 1.316
Ich verstehe sehr wohl, da ich die Konsequenz dieser Einstellung kenne.
Auf Grund von hohen Sicherheitsrisiken wurde die Einstellung mit der PHP-Version 4.2.0 per default auf off gesetzt, eben um stümperhafter und folglich risikoreicher Programmierung einen Riegel vorzuschieben.
Dein Script ist genau so programmiert, wie es nicht sein soll.
Ersetze alle Variablen, die über GET/POST kommen auch durch entsprechende Zugriffe auf die Superglobalen $_GET[] und $_POST[], dann funktioniert dein Script auch wieder.
Und wie schon angedeutet: Es ist nur noch eine Frage der Zeit, bis solche Scripts gar nicht mehr funktionieren werden, weil die Einstellung in der nächsten stabilen PHP-Version endgültig abgeschafft wird.
Dann frag ich mich warum so Scripte noch verkauft werdem.
tzz.
Ok dann werde ich ma anfangen mein Script umzuschreiben
- 20 April 2006
- 22.682
- 1.316
- 20 April 2006
- 22.682
- 1.316
Hier noch kurz ein Beispiel, da du mich per PN gefragt hast - hier haben wohl mehr Leute was davon.
Das Formular:
Falsch: (funktioniert nicht mehr)
Richtig: (nur noch so coden, dass Scripts für die Zukunft funktionieren)
Das Formular:
HTML:
<form action="script.php?foo=1" method="post">
<input type="text" name="bar" value="test" />
<!-- ... -->
PHP:
<?php
if($foo == 1)
echo "Du hast $bar eingegeben.";
?>
PHP:
<?php
if($_GET['foo'] == 1)
echo "Du hast ".$_POST['bar']." eingegeben.";
?>Benutzer-712
abgemeldet
- 21 April 2006
- 5.948
- 368
Und wenn dein Script wirklich sicher ist, kannst du folgende Zeilen in den Quellcode packen bis das Script umgeproggt wurde:
Habe früher (vor 2-3 Jahren) leider auch mit globalen gearbeitet, habe ständig alles unsetet
PHP:
extract($_GET);
extract($_POST);
extract($_COOKIES);Habe früher (vor 2-3 Jahren) leider auch mit globalen gearbeitet, habe ständig alles unsetet
ice-breaker
return void
- 27 April 2006
- 6.257
- 585
(sry, jipii) warum führt eigentlich jeder "Depp" extract an? Für dieses Problem gibt es doch extra import_request_variables().
Also einfach ganz an den Anfang des Scriptes folgendes und fertig:
PHP:
import_request_variables('GPS');Zum Glück sind wir in absehbarer Zeit die ganze register_globals-Diskussionen los, ach ne, ich vergas, die BilligHoster werdn ja gar nicht auf PHP6 umstellen
- 20 April 2006
- 22.682
- 1.316
Mit PHP5 wars doch dasselbe. Da wollte am Anfang auch keiner umstellen. Zu Zeiten von 5.1.0 liefen die Provider dann doppelgleißig; also zumindest wenn ich irgendwelche Werbung gesehen hab, stand immer PHP4/PHP5 da. Bei meinem Hoster konnte man z.B. einfach umstellen lassen, man is zwar auf nen anderen Server gekommen, aber das ging ohne Probleme.Zum Glück sind wir in absehbarer Zeit die ganze register_globals-Diskussionen los, ach ne, ich vergas, die BilligHoster werdn ja gar nicht auf PHP6 umstellen
Und jetzt, wo wir kurz vor PHP6 stehen, haben doch alle PHP5 installiert. Oder kennt jemand einen Hoster, wo man nur PHP4 bekommt ?
Dragon_freak_21
Well-known member
- 22 Oktober 2006
- 186
- 14
also ich kenn einen ^^
lycos/tripod
Based on PHP-4.4.6
bin da grad angemeldet zum bissel php lernen, bin zu faul local server unter vista einzurichten
lycos/tripod
Based on PHP-4.4.6
bin da grad angemeldet zum bissel php lernen, bin zu faul local server unter vista einzurichten
- 20 April 2006
- 22.682
- 1.316
Gebarle schrieb:
In dem Fall ist das Beispiel aber auch nicht ganz ungefährlich.
Ungeprüfte Werte in ein Skript übernehmen ... *tststs*
Ich denke ganz allgemein dürfte hier PHP-FAQ.de eine gute Hilfe sein.
flaschenkind
Well-known member
- 20 April 2006
- 4.507
- 337
Dragon_freak_21
Well-known member
- 22 Oktober 2006
- 186
- 14
Sicher ?
uuups.. garnicht gemerkt das man das umstellen kann... hatte das bisher nur als 4er inner php info gesehn
service4lose.de hat PHP 4.4.0
Da gibts auch noch MySQL 3.23.58
Glücklicherweise ist die Losewelt nicht für alles Maßstab, sonst würden wir aufgrund mangelnder Kenntnisse noch in Hölen wohnen
(sry, jipii) warum führt eigentlich jeder "Depp" extract an? Für dieses Problem gibt es doch extra import_request_variables().
Also einfach ganz an den Anfang des Scriptes folgendes und fertig:
PHP:import_request_variables('GPS');
Zum Glück sind wir in absehbarer Zeit die ganze register_globals-Diskussionen los, ach ne, ich vergas, die BilligHoster werdn ja gar nicht auf PHP6 umstellen
Vielen dank das hat geklappt