1. Tudásbázis
  2. Hoszting kérdések
  3. register_globals átállítása helyi php.ini-ben

register_globals átállítása helyi php.ini-ben

Beküldte fox mulder - 2008. március 11. 14.39
fox mulder képe

Sziasztok, új vagyok!

Tanácsot szeretnék kérni. A szolgáltatómnál több PHP+MySQL kombó létezik, az én dolgaim egy olyan szerveren vannak, ahol a register_globals be van kapcsolva, és a Drupal-lal érkezett .htaccess-ben a PHP-ra vonatkozó beállítások nem érvényesülnek. Készítettem a Drupal gyökérkönyvtárában egy php.ini-t a köv. tartalommal: register_globals = off. A Drupal fel is települt, de a szolgáltató figyelmeztet, hogy a lokális php.ini felülírja a szerveren érvényes beállításokat és csak az adott könyvtárban érvényes, az alkönyvtárakban nem. Van lehetőség másik szerverre költözni, ahol már PHP5 fut és a register_globals értéke off. A kérdés az, hogy költözzek, vagy ezzel a "félmegoldással" a Drupal-nak nem lesz gondja? Egyáltalán rejt-e veszélyeket (elolvastam a php manual ide vonatkozó részét, de nem vagyok egy PHP guru) egy ilyen tákolt megoldás?

Köszi!

Fórum: 
Hoszting kérdések
Webappz képe

Beküldte Webappz - 2008. március 11. 15.01

Igaz, hogy még csak a Drupal 6-nál járunk, de a Drupal közösség a Drupal 7 fejlesztését illetően már letette a voksát a PHP 5.2 mellett. Szerintem ha lehetőséged van, akkor inkább válaszd a PHP 5-ös hosztot és ahol normálisan be vannak állítva a php.ini változói.

0
0

Páldi Zoltán

fox mulder képe

Beküldte fox mulder - 2008. március 11. 22.45

Már meg is tettem a szükséges lépéseket. Csak érdekelt volna, hogy milyen következményei lehetnek a register_globals on beállításának. A php manual-ból annyit kibogarásztam, hogy e mellett a beállítás mellett lehet óvatlanul programozni. Gondolom a Drupal kódja nem tartalmazza az ott felsorolt hibákat, érdekelt volna, hogy akkor milyen biztonsági rések keletkezhetnek.

Köszi a választ.

0
0

Fox Mulder

Webappz képe

Beküldte Webappz - 2008. március 12. 08.58

Azért nem biztonságos a register_globals on, mert ha a programozó nem határozza meg pontosan, hogy egy belső változó értéke honnan származhat - melyik szuperglobális tömbből, pl.: $_GET, $_POST, $_SESSION -, akkor ezzel lehetőséget teremt arra, hogy ezt a belső változót az url-ben küldött értékkel manipuláljuk. Azért azt hozzá kell tenni, hogy egyedül a register_globals off-ra állításától még nem lesz biztonságos a kódod.

Bővebben http://hu.php.net/manual/hu/security.globals.php és http://hu.php.net/manual/hu/language.variables.predefined.php

0
0

Páldi Zoltán