Problem mit register globals on/off

fender · 30.01.2007, 10:27

Hallo

Hätte gerne gewußt wie ich nachfolgenden Script auf 'register globals off' umschreiben muß.
In meinen Büchern wird nicht genau darauf eingegeangen.
Es steht nur 'register globals on' kann unter Umständen sehr gefährlich werden!
Dazu folgendes:
Die einzige Variable die von einem Formular einer anderen Seite kommt ist:
'votenid'.
Alle anderen werden im Script erzeugt.

PHP-Code:

      $ip = $REMOTE_ADDR;

    if ($HTTP_X_FORWARDED_FOR) 

      $ip .= " ($HTTP_X_FORWARDED_FOR)";

      

 
$sql = "SELECT votenid, ip, max(Zeit) Zeit

        FROM vowahl

        WHERE votenid = $votenid

        AND ip = '$ip'

        AND (Zeit + INTERVAL 24 HOUR) > NOW()

        GROUP BY  votenid, ip";

        

$db->query($sql) or die(mysql_error());

 
if 

(!$db->data())

#etc...

Zergling-new · 30.01.2007, 11:56

Im Prinzip solltest du im globalen Skript keine einfachen Variablen verwenden, die du nicht selbst erzeugt hast, es sei denn es handelt sich um diese vordefinierten Superglobalen:
http://de.php.net/variables.predefined

Zitat:

$GLOBALS, $_SERVER, $_GET, $_POST, $_COOKIE, $_FILES, $_ENV, $_REQUEST

Dem entsprechend sind $REMOTE_ADDR, $HTTP_X_FORWARDED zu ersetzen durch
$_SERVER['REMOTE_ADDR'] und $_SERVER['HTTP_X_FORWARDED'].

$votenid ist zu ersetzen durch $_GET['votenid'] bzw. $_POST['votenid'] (je nach dem was du als method-Attribut bei deinem Formular verwendet hast).

Hier noch ein bißchen ausführlichereres
http://de.php.net/register_globals
http://de3.php.net/manual/de/securit...-injection.php

fender · 30.01.2007, 13:30

Erst mal Dankeschön für die schnelle und verständliche Antwort.
Noch eine Frage:
Muß ich jetzt alle, bzw alle von Formularen gesendeten Variablen auf die oben genannte Weise ersetzen?

dsmcg · 30.01.2007, 13:36

Zitat:

Zitat von fender

Erst mal Dankeschön für die schnelle und verständliche Antwort.
Noch eine Frage:
Muß ich jetzt alle, bzw alle von Formularen gesendeten Variablen auf die oben genannte Weise ersetzen?

jop

fender · 30.01.2007, 16:14

Frage: heißt "job" ja,yes oder si?

Zergling-new · 30.01.2007, 16:24

Ja, auf Formular-Daten greifst du mit $_POST['name'] bzw. $_GET['name'] zu.

$_SERVER['REMOTE_ADDR'] und $_SERVER['HTTP_X_FORWARDED'] sind unabhängig von einem Formular verfügbar, sozusagen Umgebungs-Variablen. Daher wurden sie im $_SERVER-Array zusammengefasst.

Falls du mal nicht weißt, wo deine Variablen stecken, einfach die Arrays ausgeben:

PHP-Code:

  <?php

echo '<pre>';

var_dump($_SERVER, $_GET, $_POST);

echo '</pre>';

?>

phpdummi · 30.01.2007, 17:08

Zitat:

Zitat von dsmcg

jop

..

Zitat:

Zitat von fender

Frage: heißt "job" ja,yes oder si?

*g*

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
[Erledigt] register globals	krackmoe	PHP Tipps 2008	2	17.07.2008 19:52
Timestamp problem	phrain	PHP Tipps 2008	2	04.04.2008 09:41
Register Globals \| $_GET $_Post	darkbird	PHP Tipps 2008	4	29.02.2008 13:29
Problem mit globals	max-dhom	PHP Tipps 2006	20	17.08.2006 18:32
Register Globals?	stefan-miti	PHP Tipps 2006	4	16.07.2006 15:20
datensätze defekt oder problem mit dem einlesen?	Ministry	Datenbanken	4	06.07.2006 18:42
Links im ?variable=bla format und register globals off		PHP Tipps 2006	2	20.02.2006 14:00
problem!!!		PHP Tipps 2006	6	08.02.2006 11:06
[Erledigt] wieder ein Problem bei phpmailer und smtp		PHP Tipps 2006	24	07.02.2006 01:07
register globals = off - Probleme seit Umstellung		PHP Tipps 2005-2	6	25.08.2005 13:44
Smarty und PHP-Skript Problem		PHP Tipps 2004-2	2	03.12.2004 22:27
Register globals = on		PHP Tipps 2004-2	21	26.11.2004 14:03
register globals on /off		PHP Tipps 2004	1	17.08.2004 01:39
Problem mit alter JavaScript-Funktion	woods	PHP Tipps 2004	1	13.08.2004 13:34
REGISTER GLOBALS FRAGE		PHP Tipps 2004	8	11.08.2004 20:32

30.01.2007, 10:27
fender Benutzer Registriert seit: 26.01.2004 Beiträge: 62	Problem mit register globals on/off Hallo Hätte gerne gewußt wie ich nachfolgenden Script auf 'register globals off' umschreiben muß. In meinen Büchern wird nicht genau darauf eingegeangen. Es steht nur 'register globals on' kann unter Umständen sehr gefährlich werden! Dazu folgendes: Die einzige Variable die von einem Formular einer anderen Seite kommt ist: 'votenid'. Alle anderen werden im Script erzeugt. PHP-Code: `$ip = $REMOTE_ADDR; if ($HTTP_X_FORWARDED_FOR) $ip .= " ($HTTP_X_FORWARDED_FOR)"; $sql = "SELECT votenid, ip, max(Zeit) Zeit FROM vowahl WHERE votenid = $votenid AND ip = '$ip' AND (Zeit + INTERVAL 24 HOUR) > NOW() GROUP BY votenid, ip"; $db->query($sql) or die(mysql_error()); if (!$db->data()) #etc...` __________________ Alex GC


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

30.01.2007, 13:30
fender Benutzer Registriert seit: 26.01.2004 Beiträge: 62	Erst mal Dankeschön für die schnelle und verständliche Antwort. Noch eine Frage: Muß ich jetzt alle, bzw alle von Formularen gesendeten Variablen auf die oben genannte Weise ersetzen? __________________ Alex GC

30.01.2007, 16:14
fender Benutzer Registriert seit: 26.01.2004 Beiträge: 62	Frage: heißt "job" ja,yes oder si? __________________ Alex GC

30.01.2007, 16:24
Zergling-new Erfahrener Benutzer Registriert seit: 21.05.2008 Beiträge: 9.937	Ja, auf Formular-Daten greifst du mit $_POST['name'] bzw. $_GET['name'] zu. $_SERVER['REMOTE_ADDR'] und $_SERVER['HTTP_X_FORWARDED'] sind unabhängig von einem Formular verfügbar, sozusagen Umgebungs-Variablen. Daher wurden sie im $_SERVER-Array zusammengefasst. Falls du mal nicht weißt, wo deine Variablen stecken, einfach die Arrays ausgeben: PHP-Code: `<?php echo '<pre>'; var_dump($_SERVER, $_GET, $_POST); echo '</pre>'; ?>`