register_globals = on, läuft PHP-Seite noch, wenn off?

24.05.2005, 14:40

Hallo zusammen

In den letzten 45 Minuten habe ich viel Matrial zum Thema Sicherheit im Zusammenhang mit PHP und MySQL gelesen, besonders wegen der Einstellung "register_globals = on" (bei mir ist es aktiviert):
http://www.phpfriend.de/ftopic26569.html
http://www.php-faq.de/q/q-fehler-variable.html
http://www.php.net/manual/de/languag...predefined.php

Zur wirklich sauberen und sicheren Programmierung gehört wohl u.a., Variabeln so lokal wie möglich und so global wie nötig zu verwenden. Deshalb möchte ich in Zukunft so wenig mit globalen Variabeln arbeiten wie möglich.

Natürlich ist es sehr angenehm und bequem, globale Variabeln zu verwenden. Und wenn man die globalen Variabeln deaktiviert, dann hat das zur Folge:

Code:

Wenn PHP mit register_globals = off konfiguriert ist, dann werden Variablen aus Formularen (oder aus dem Query-String im URL) nicht automatisch als $variable verfügbar gemacht.

Aus diesem Grund frage ich, ob folgender Codeteil noch funktionieren würde. Wäre "name=sortieren" immer noch eine Variable? Sie soll eigentlich aus einer Dropdownliste (HTML-Teil des Quellcodes einer PHP-Datei) entstehen:

Code:

		<td><select class="text" name="sortieren" size="6">
			<option value="fldDate">Datum</option>
			<option value="fldTitle">Titel</option>
			<option value="fldText">Beschreibung</option>
			<option value="fldUser">Benutzer</option>
			<option value="fldStatus">Status</option>
			<option value="fldPriority">Priorität</option>
		</select></td>

und dann im PHP-Teil soll die Variable wie folgt verwendet werden:

Code:

if (empty($sortieren))
		$sortieren = 'fldPriority';

Würde das noch funktionieren, wenn bei den PHP-Einstellungen (php.ini) auf dem Server die register_globals auf off gesetzt werden? Ich glaube eher nein, denn die in Formularen vorkommenden Variablen werden dann nicht mehr automatisch als Variable gesetzt. Wie setzt man denn Variablen aus Formularen "manuell", wenn dies nicht mehr automatisch geschieht?

Grüsse aus der nun
deutlich bewölkteren Schweiz

24.05.2005, 14:46

Nein, das würde nicht mehr funktionieren. Alle Werte lassen sich dann nur noch über $_GET bzw. $_POST ansprechen.

Gruß
phpfan

24.05.2005, 14:49

nein...
würde es nicht

aber so funktioniert es wieder

anstatt $sortieren
das hier -> $_POST['sortieren'] oder wenn per URL $_GET['sortieren']

24.05.2005, 14:49

muuuuuuuuuuuuuuuhhhhhaaaaaaaaaaaaaaaaa
phpfan...geh kaffee trinken

dann bin ich vielleicht einmal der erste beim antwort posten

24.05.2005, 14:52

Vielen Dank für eure Hilfe, phpfan und Julied64. Das ist nett von euch. Och streitet euch nicht. phpfans Antwort war schneller da, Julies Antwort war noch genauer.

Einen schönen Tag wünscht euch
<--

24.05.2005, 14:55

ich streit mich doch ned mit phpfan

das war ja nur spass...

phpfan hat mir viel zu oft schon geholfen....da mach ich ihn doch ned blöd an...
wär ja irgendwie irrsinnig....oder?

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
CURL in Seite einloggen und einen Teil parsen	Matt	PHP Tipps 2008	8	03.09.2009 22:30
Krieg kein Objekt zurück auf includeter Seite	NONNNNN	PHP Tipps 2008	5	28.03.2008 19:25
Eintrag in DB und Wechsel zu anderer Seite	Darson	PHP Tipps 2008	25	14.01.2008 16:46
Seite nicht mehr gültig	Igäl	PHP Tipps 2006	3	25.05.2006 16:08
[Erledigt] Wetten automatisch von anderer Seite beziehen		PHP Tipps 2006	11	03.03.2006 09:09
Formular - Daten für nächste Seite behalten	NetLook	PHP Tipps 2007	7	18.11.2005 13:21
Frame schließen und register_globals = on, läuft PHP-Seite noch, wenn off?	workaholic	HTML, Usability und Barrierefreiheit	2	06.09.2005 13:36
Mit post an weitere Seite oder 2 Seiten übergeben?		PHP Tipps 2005	1	02.02.2005 12:16
Neue Seite an einer bestimmten Stelle aufrufen		PHP Tipps 2005	3	13.01.2005 10:09
blätterfunktion-limit-letzte seite		PHP Tipps 2004-2	2	20.12.2004 23:56
Eine 2te Seite auto matisch in neuem Fenster laden		PHP Tipps 2004	4	25.08.2004 14:10
[Erledigt] Tabelle auf einer Seite auslesen und in meiner Seite wiederg		PHP Tipps 2004	2	14.07.2004 08:46
"NEWS-SCRIPT" in eine Seite einbinden: Aber wie ?		PHP Tipps 2004	2	03.07.2004 16:33

24.05.2005, 14:40
Gast Beiträge: n/a	register_globals = on, läuft PHP-Seite noch, wenn off? Hallo zusammen In den letzten 45 Minuten habe ich viel Matrial zum Thema Sicherheit im Zusammenhang mit PHP und MySQL gelesen, besonders wegen der Einstellung "register_globals = on" (bei mir ist es aktiviert): http://www.phpfriend.de/ftopic26569.html http://www.php-faq.de/q/q-fehler-variable.html http://www.php.net/manual/de/languag...predefined.php Zur wirklich sauberen und sicheren Programmierung gehört wohl u.a., Variabeln so lokal wie möglich und so global wie nötig zu verwenden. Deshalb möchte ich in Zukunft so wenig mit globalen Variabeln arbeiten wie möglich. Natürlich ist es sehr angenehm und bequem, globale Variabeln zu verwenden. Und wenn man die globalen Variabeln deaktiviert, dann hat das zur Folge: Code: Wenn PHP mit register_globals = off konfiguriert ist, dann werden Variablen aus Formularen (oder aus dem Query-String im URL) nicht automatisch als $variable verfügbar gemacht. Aus diesem Grund frage ich, ob folgender Codeteil noch funktionieren würde. Wäre "name=sortieren" immer noch eine Variable? Sie soll eigentlich aus einer Dropdownliste (HTML-Teil des Quellcodes einer PHP-Datei) entstehen: Code: <td><select class="text" name="sortieren" size="6"> <option value="fldDate">Datum</option> <option value="fldTitle">Titel</option> <option value="fldText">Beschreibung</option> <option value="fldUser">Benutzer</option> <option value="fldStatus">Status</option> <option value="fldPriority">Priorität</option> </select></td> und dann im PHP-Teil soll die Variable wie folgt verwendet werden: Code: if (empty($sortieren)) $sortieren = 'fldPriority'; Würde das noch funktionieren, wenn bei den PHP-Einstellungen (php.ini) auf dem Server die register_globals auf off gesetzt werden? Ich glaube eher nein, denn die in Formularen vorkommenden Variablen werden dann nicht mehr automatisch als Variable gesetzt. Wie setzt man denn Variablen aus Formularen "manuell", wenn dies nicht mehr automatisch geschieht? Grüsse aus der nun deutlich bewölkteren Schweiz


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

24.05.2005, 14:46
Gast Beiträge: n/a	Nein, das würde nicht mehr funktionieren. Alle Werte lassen sich dann nur noch über $_GET bzw. $_POST ansprechen. Gruß phpfan

24.05.2005, 14:49
Gast Beiträge: n/a	nein... würde es nicht aber so funktioniert es wieder anstatt $sortieren das hier -> $_POST['sortieren'] oder wenn per URL $_GET['sortieren']

24.05.2005, 14:52
Gast Beiträge: n/a	Vielen Dank für eure Hilfe, phpfan und Julied64. Das ist nett von euch. Och streitet euch nicht. phpfans Antwort war schneller da, Julies Antwort war noch genauer. Einen schönen Tag wünscht euch <--

24.05.2005, 14:55
Gast Beiträge: n/a	ich streit mich doch ned mit phpfan das war ja nur spass... phpfan hat mir viel zu oft schon geholfen....da mach ich ihn doch ned blöd an... wär ja irgendwie irrsinnig....oder?