register_globals abschalten

cycap · 01.07.2008, 13:07

Hi zusammen,

ich hab mir seit langer Zeit mal wieder einen Webspace zugelegt. Das erste was ich gemacht hab ist mir die phpinfo angeschaut und was sehe ich da? register_globals = on

Jetzt wollte ich das per htaccess abschalten und bekomme bei

Code:

php_value register_globals 0

und auch bei

Code:

php_flag register_globals off

nur nen "internal server error"

ein ini_set("register_globals","off"); vor dem phpinfo() hat überhaupt keine Wirkung. Hat noch jemand eine Idee wie man das ausgeschaltet bekommt?

Gruß
Cy

cycap · 01.07.2008, 13:18

Alles klar, hat sich erledigt, die lassen mich meine eigene php.ini benutzen, das is cool

nikosch · 01.07.2008, 13:19

Zitat:

Bitte beachten Sie, dass register_globals nicht während der Laufzeit Ihrer Skripte gesetzt werden kann (ini_set()). Wenn Ihr Server es erlaubt, können Sie aber .htaccess wie oben beschrieben verwenden. Beispiel für einen .htaccess Eintrag: php_flag register_globals on .

Vielleicht mal beim Hoster nachfragen, wenigstens die Erlaubnis zum Setzen zu ändern?

cycap · 01.07.2008, 13:51

Argh ist das nen Sch.. jetzt muss ich in jedes Unterverzeichnis ne php.ini reinmachen die dann fürs jeweilige Verzeichnis gültig ist. An was für nen Hoster bin ich da schon wieder geraten?? Ohje

Wolla · 01.07.2008, 14:04

hmpf...

Also wenn man alle reinkommenden Daten nur per $_GET und $_POST usw. abfragt, dann sollte doch auch bei rg=on nichts passieren können, oder?

cycap · 01.07.2008, 14:07

doch wenn man fertige Skripte benutzt die undefinierte variablen benutzen...

Wolla · 01.07.2008, 14:11

Ah ja, das ist dann klar - dann hat der Angreifer ja gleich den Quellcode und kennt eventuell vorhandene Schwachstellen.

cycap · 01.07.2008, 14:15

Ja nur wie schalte ich das Ding ab? Ich bin jetzt soweit das ich in jedes Verzeichnis einen Symlink auf meine eigene php.ini machen könnte, aber schön ist das nicht...

dr.e. · 01.07.2008, 16:53

Manchmal hilft auch ein

Code:

php_admin_value <key> <value>

cycap · 01.07.2008, 16:56

Ne das hilft leider auch nicht, ich glaube das liegt daran das die PHP als CGI-Version installiert haben, damit hatte ich es noch nie zu tun. Noch jemand ne Idee?

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Internet Explorer Bildverkleinerung abschalten	Cyber Soldier	HTML, Usability und Barrierefreiheit	0	05.08.2005 13:05
Internet Explorer Bildverkleinerung abschalten	Cyber Soldier	HTML, Usability und Barrierefreiheit	0	05.08.2005 13:04
Internet Explorer Bildverkleinerung abschalten	Cyber Soldier	HTML, Usability und Barrierefreiheit	0	05.08.2005 13:03
Notice und Warnings abschalten	axo	PHP Tipps 2005-2	19	23.06.2005 18:28
.htaccess Passwort in einem subordner abschalten		PHP Tipps 2004-2	7	19.11.2004 14:57
safe mode will sich nicht abschalten lassen		Server, Hosting und Workstations	6	21.08.2004 02:35
[Erledigt] session.use_cookies ohne root abschalten!		PHP-Fortgeschrittene	23	06.06.2004 15:05

01.07.2008, 13:07
cycap Moderator Registriert seit: 13.02.2008 Beiträge: 6.816 PHP-Kenntnisse: Fortgeschritten	register_globals abschalten Hi zusammen, ich hab mir seit langer Zeit mal wieder einen Webspace zugelegt. Das erste was ich gemacht hab ist mir die phpinfo angeschaut und was sehe ich da? register_globals = on Jetzt wollte ich das per htaccess abschalten und bekomme bei Code: php_value register_globals 0 und auch bei Code: php_flag register_globals off nur nen "internal server error" ein ini_set("register_globals","off"); vor dem phpinfo() hat überhaupt keine Wirkung. Hat noch jemand eine Idee wie man das ausgeschaltet bekommt? Gruß Cy


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

01.07.2008, 13:18
cycap Moderator Registriert seit: 13.02.2008 Beiträge: 6.816 PHP-Kenntnisse: Fortgeschritten	Alles klar, hat sich erledigt, die lassen mich meine eigene php.ini benutzen, das is cool

01.07.2008, 13:51
cycap Moderator Registriert seit: 13.02.2008 Beiträge: 6.816 PHP-Kenntnisse: Fortgeschritten	Argh ist das nen Sch.. jetzt muss ich in jedes Unterverzeichnis ne php.ini reinmachen die dann fürs jeweilige Verzeichnis gültig ist. An was für nen Hoster bin ich da schon wieder geraten?? Ohje

01.07.2008, 14:04
Wolla Moderator Registriert seit: 06.06.2008 Beiträge: 4.945 PHP-Kenntnisse: Fortgeschritten	hmpf... Also wenn man alle reinkommenden Daten nur per $_GET und $_POST usw. abfragt, dann sollte doch auch bei rg=on nichts passieren können, oder?

01.07.2008, 14:07
cycap Moderator Registriert seit: 13.02.2008 Beiträge: 6.816 PHP-Kenntnisse: Fortgeschritten	doch wenn man fertige Skripte benutzt die undefinierte variablen benutzen...

01.07.2008, 14:11
Wolla Moderator Registriert seit: 06.06.2008 Beiträge: 4.945 PHP-Kenntnisse: Fortgeschritten	Ah ja, das ist dann klar - dann hat der Angreifer ja gleich den Quellcode und kennt eventuell vorhandene Schwachstellen.

01.07.2008, 14:15
cycap Moderator Registriert seit: 13.02.2008 Beiträge: 6.816 PHP-Kenntnisse: Fortgeschritten	Ja nur wie schalte ich das Ding ab? Ich bin jetzt soweit das ich in jedes Verzeichnis einen Symlink auf meine eigene php.ini machen könnte, aber schön ist das nicht...

01.07.2008, 16:53
dr.e. Moderator und Wett-König Registriert seit: 21.05.2008 Beiträge: 3.657 PHP-Kenntnisse: Fortgeschritten	Manchmal hilft auch ein Code: php_admin_value <key> <value> __________________ Viele Grüße, Dr.E. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 1. Think about software design before you start to write code! 2. Discuss and review it together with experts! 3. Choose good tools (-> Adventure PHP Framework (APF))! 4. Write clean and reusable software only! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

01.07.2008, 16:56
cycap Moderator Registriert seit: 13.02.2008 Beiträge: 6.816 PHP-Kenntnisse: Fortgeschritten	Ne das hilft leider auch nicht, ich glaube das liegt daran das die PHP als CGI-Version installiert haben, damit hatte ich es noch nie zu tun. Noch jemand ne Idee?