Register global

MisterS · 28 Oktober 2007

Moin

Kurze Frage...

ich kann HTML sehr gut und PHP, SQL weniger.
Also kauf ich mir Scripte und bastel mir dann die Seite.

Jetzt hab ich eine neue Idee für eine Seite...Domain schon da.
Jetzt hab ich zwei Scripte.
Eins arbeitet mit on, eins mit off.

Was heißt das denn?
Vor,- und Nachteile?

Das eine ist sehr verbreitet und teuer, das andere neu und relativ günstig.

Ratet mal welches mit on und welches mit off arbeitet...

theHacker · 28 Oktober 2007

Dasjenige, was auf die Sicherheitslücke angewiesen is, wird sowieso früher oder später nicht mehr funktionieren. Von daher sollte die Entscheidung wohl klar sein

MisterS · 28 Oktober 2007

theHacker schrieb:
Dasjenige, was auf die Sicherheitslücke angewiesen is, wird sowieso früher oder später nicht mehr funktionieren. Von daher sollte die Entscheidung wohl klar sein

Das das was mit Sicherheit zu tun hat hab ich schon so aufgeschnappt...
Aber was ist sicherer? On or off?
Und worum gehts da eigentlich?
Ich zieh mir jetzt nicht die ganzen Fachposts rein wenn ich das bei Googel eingebe...nur mal kurz zusammengefasst für nen Dummie *g

theHacker · 28 Oktober 2007

Ok, und ich schreib dir keinen großen Aufsatz:
https://de2.php.net/register_globals
Der Link sollte das Wichtigste sagen und die Hauptbotschaft rüberbringen.

Als Anmerkung, weil das da nicht steht: Mit PHP6 wird register_globals wegfallen, d.h. Scripte, die dieses "Feature" ("Sicherheitslücke" is passender) benötigen, werden nicht mehr funktionieren. Das wird zwar noch dauern, aber it is simply a matter of time (ich liebe diesen Film :ugly:

).

Zum Anfassen:
Wenn du die Wahl hast, zwischen zwei Autos, nämlich einem von diesen hier für 2000€ und diesen hier für 75000€. Welchen würdest du kaufen ?

MisterS · 28 Oktober 2007

Ich wusste das so ein Vergleich kommt...deswegen die Frage...
Weil das on kost 100...das off kost 30...
Beide Scripts gleich (vom Thema her) bis auf diese Frage.
Und das für 100 hat hier jeder 2. das für 30 nutz kaum einer.

theHacker · 28 Oktober 2007

Mirinda schrieb:
Weil das on kost 100...das off kost 30...

Dann is die Entscheidung ja leicht, wenn der Porsche weniger kostet, als die Schrottmühle

Mirinda schrieb:
Und das für 100 hat hier jeder 2. das für 30 nutz kaum einer.

Die Leute stehen eben auf "register_globals=on"-Scripts, weil man damit viel leichter Lose abräumen etc. kann :ugly:

zuendkerzn · 28 Oktober 2007

rofl mal ne frage bin auch progger aus leidenschaft

warum proggt man überhaupt mit register globals on?
das skript off zu proggen macht eg keinen unterschied her... ich muss eben pro übergebenen vari nen anderen namen verwenden/die vari umbennen...
lol? :mrgreen:

mfg

ice-breaker · 29 Oktober 2007

Diese Skripte stammen meist noch aus der Vorkriegszeit, als PHP4 nocht nicht PHP3 vernichtet.
Andere Theorie: Man hat nie mitbekommen, dass eine neuere Version rauskam. "PHP4? hui, gar net mitbekommen. PHP5? Uff, oh, äh, das ist mir aber peinlich. PHP6? Scheiße, ich hör auf, das macht keinen Sinn mehr"

chrissel · 29 Oktober 2007

ice-breaker schrieb:
Diese Skripte stammen meist noch aus der Vorkriegszeit, als PHP4 nocht nicht PHP3 vernichtet.
Andere Theorie: Man hat nie mitbekommen, dass eine neuere Version rauskam. "PHP4? hui, gar net mitbekommen. PHP5? Uff, oh, äh, das ist mir aber peinlich. PHP6? Scheiße, ich hör auf, das macht keinen Sinn mehr"

Gab es in PHP3 noch gar kein $_GET / $HTTP_GET_VARS ? Komme nicht aus der PHP3 Zeit, aber könnte mir vorstellen, da war es noch $HTTP_GET_VARS...

ice-breaker · 29 Oktober 2007

ja es gab $HTTP_GET_VARS, aber das hat kein Schwein genutzt

ZeroCCC · 29 Oktober 2007

On/Off

Daran würde ich noch kein Script beurteilen wollen... klar das Script was On vorraussetzt ist nicht wirklich auf dem aktuellen Stand, das heißt aber noch nicht automatisch das es schlecht ist. Genauso wenig wie Off gut heißt... dass kann ja auch jemand entwickelt haben der erst seit kruzen sich mit PHP beschäftigt.

Auch die einstellung hier im Thread herrscht von wegen "ON = absolutes Sicherheitsrisiko" ist falsch. Es funktionierte Jahre lang... warum solls heute nicht mehr funktionieren :ugly:

Keine frage es ist nicht mehr aktuell und wenn das Script noch aktiv entwickelt wird würde ich eher die Finger lassen... es ist nicht unbedingt ein gutes Zeichen wenn heutzutage noch jemand mit On arbeitet. Jemand der sich auskennt weiß die Vorteile von Off zu schätzen.

MisterS · 31 Oktober 2007

ice-breaker schrieb:
ja es gab $HTTP_GET_VARS, aber das hat kein Schwein genutzt

Doch, ich.
Hab das 2001/2 so gelernt...an einer wirklich guten Schule :-(

Bitfreezer · 3 November 2007

Ab nächster PHP-Version (erscheint soviel ich denke nächstes Jahr) wird man keine RegisterGlobals mehr einschalten können, da die dann Geschichte sind... Auf den phpSafeMod wird es nicht mehr geben, da er Sicherheit vorgaukelt, wo garkeine Sicherheit vorhanden ist.

ice-breaker · 3 November 2007

Bitfreezer schrieb:
Auf den phpSafeMod wird es nicht mehr geben, da er Sicherheit vorgaukelt, wo garkeine Sicherheit vorhanden ist.

Bitte lass doch solche Halbwahrheiten und bevor du versuchst Leute zu belehren, versuche dich erst selbst stärker in das Thema einzuarbeiten

Das PHP6-Release wird DEUTLICH sicherer sein, als ALLE PHP-Version, da nun der Hardened-PHP-Patch (Suhosin-Extension) direkt in PHP integriert wird.
Zudem weicht der Safemode der deutlich sicheren OpenBasedir-Restriction.
Der Safemode hatte zuviele konzeptionelle Fehler (das ist nur noch ein Flickenwerk), dass es gut ist, das dieser endlich ersetzt wird.

Register global

MisterS

Well-known member

theHacker

sieht vor lauter Ads den Content nicht mehr

MisterS

Well-known member

theHacker

sieht vor lauter Ads den Content nicht mehr

MisterS

Well-known member

theHacker

sieht vor lauter Ads den Content nicht mehr

zuendkerzn

mir is langweilig

ice-breaker

return void

chrissel

Woohooo!

ice-breaker

return void

ZeroCCC

wasn das?

MisterS

Well-known member

Bitfreezer

Loseshreddderer

ice-breaker

return void