Ankündigung

Einklappen
Keine Ankündigung bisher.

register_globals abschalten

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • register_globals abschalten

    Hi zusammen,

    ich hab mir seit langer Zeit mal wieder einen Webspace zugelegt. Das erste was ich gemacht hab ist mir die phpinfo angeschaut und was sehe ich da? register_globals = on

    Jetzt wollte ich das per htaccess abschalten und bekomme bei

    Code:
    php_value register_globals 0
    und auch bei

    Code:
    php_flag register_globals off
    nur nen "internal server error" ein ini_set("register_globals","off"); vor dem phpinfo() hat überhaupt keine Wirkung. Hat noch jemand eine Idee wie man das ausgeschaltet bekommt?

    Gruß
    Cy


  • #2
    Alles klar, hat sich erledigt, die lassen mich meine eigene php.ini benutzen, das is cool

    Kommentar


    • #3
      Bitte beachten Sie, dass register_globals nicht während der Laufzeit Ihrer Skripte gesetzt werden kann (ini_set()). Wenn Ihr Server es erlaubt, können Sie aber .htaccess wie oben beschrieben verwenden. Beispiel für einen .htaccess Eintrag: php_flag register_globals on .
      Vielleicht mal beim Hoster nachfragen, wenigstens die Erlaubnis zum Setzen zu ändern?
      --

      „Emoticons machen einen Beitrag etwas freundlicher. Deine wirken zwar fachlich richtig sein, aber meist ziemlich uninteressant.
      Wenn man nur Text sieht, haben viele junge Entwickler keine interesse, diese stumpfen Texte zu lesen.“


      --

      Kommentar


      • #4
        Argh ist das nen Sch.. jetzt muss ich in jedes Unterverzeichnis ne php.ini reinmachen die dann fürs jeweilige Verzeichnis gültig ist. An was für nen Hoster bin ich da schon wieder geraten?? Ohje

        Kommentar


        • #5
          hmpf...

          Also wenn man alle reinkommenden Daten nur per $_GET und $_POST usw. abfragt, dann sollte doch auch bei rg=on nichts passieren können, oder?
          PHP-Code:
          if ($var != 0) {
            
          $var 0;

          Kommentar


          • #6
            doch wenn man fertige Skripte benutzt die undefinierte variablen benutzen...

            Kommentar


            • #7
              Ah ja, das ist dann klar - dann hat der Angreifer ja gleich den Quellcode und kennt eventuell vorhandene Schwachstellen.
              PHP-Code:
              if ($var != 0) {
                
              $var 0;

              Kommentar


              • #8
                Ja nur wie schalte ich das Ding ab? Ich bin jetzt soweit das ich in jedes Verzeichnis einen Symlink auf meine eigene php.ini machen könnte, aber schön ist das nicht...

                Kommentar


                • #9
                  Manchmal hilft auch ein

                  Code:
                  php_admin_value <key> <value>
                  Viele Grüße,
                  Dr.E.

                  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
                  1. Think about software design before you start to write code!
                  2. Discuss and review it together with experts!
                  3. Choose good tools (-> Adventure PHP Framework (APF))!
                  4. Write clean and reusable software only!
                  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

                  Kommentar


                  • #10
                    Ne das hilft leider auch nicht, ich glaube das liegt daran das die PHP als CGI-Version installiert haben, damit hatte ich es noch nie zu tun. Noch jemand ne Idee?

                    Kommentar


                    • #11
                      Zitat von cycap
                      ich glaube das liegt daran das die PHP als CGI-Version installiert haben
                      Einfach zu testen mit
                      PHP-Code:
                      echo PHP_SAPI_NAME
                      am besten gleich noch
                      PHP-Code:
                      echo get_current_user(); 
                      ausprobieren.

                      Kommentar


                      • #12
                        nene DAS es CGI ist weiss ich wohl... aber wie ich hier jetzt am schlausten register_globals ausschalte nicht

                        Kommentar


                        • #13
                          Und der Benutzername?
                          Sieht es nach einer Je-Kunden-Id oder nach einem "Sammelaccount" wie nobody, apache, webserver aus?

                          Kommentar


                          • #14
                            Naja also 213690-ftp sieht wohl nicht nach nem Sammelaccount aus...

                            PHP_SAPI_NAME ist nicht definiert... was sagt dir das jetzt?

                            Kommentar


                            • #15
                              Dass weder Du noch ich in der Doku nachgesehen haben
                              PHP_SAPI oder php_sapi_name()

                              Vielleicht kann Dein Anbieter Dir eine uid-abhängige Konfiguration ermöglichen. Zum Beispiel per PHPRC.

                              Kommentar

                              Lädt...
                              X