Variablen in PHP nicht zugänglich

S

sputnik

Registered User
n'abend!!

hab neuinstallation von apache (1.3.x) und php 4.3.3 durchgeführt. jetzt globalisiert php irgendwie keine variablen - also $PHP_SELF ist nur unter $_SERVER['PHP_SELF'] zugänglich, wenn ich via args was übergebe, dann stehen die variablen und deren werte in $_REQUEST['var1'] und nicht in $var1 wie es eigentlich sein sollte,

weiß jemand wodran es liegt?

p.s. PHP läuft nicht im safe-mode. httpd.conf wurde bereits angepaßt.

thaanx
 
bist du dir sicher, dass du die
Code: 
register_globals = On
hast?
Wenn nicht, mach das mal (php.ini) und den restart des Indianers nicht vergessen!

edit:
Ein kleiner Nachtrag noch:
Ich persönlich arbeite (inzwischen) mit Off, da es einfach sicherer ist. Mehr dazu findest du unter php.net! Aber eine richtige Sicherheitslücke besteht nicht, es könnten "nur" Variablen getürkt werden, wenn du diese in den Scripten nicht richtig absicherst.

yay!!! 170 posts... nur noch 100 abziehen, dann kann jeder Mathematiker mein Alter austüfteln :-).. nur mal so ein Spasss am Rande :)
 
Last edited by a moderator:
sputnik said:
dann stehen die variablen und deren werte in $_REQUEST['var1'] und nicht in $var1 wie es eigentlich sein sollte,
Click to expand...
Den Hint hat ja schon s4d gegeben.
Die Begründung ist folgende:
Es gab mit PHP Probleme mit den Globalen-Variablen, da
1. zuviele (sinnvolle) davon vorbelegt waren,
2. Programm-Variablen einfach durch fehlerhafte Parameterübergabe überschrieben werden konnten.

Vorallem aus 2.) entsteht ein immenses Sicherheitsloch.
Darum hat man seit PHP 4.1 (glaub ich, sonst schon 4.0) die globalen Variablen abgeschafft. Den Parameter register_globals gab es erstmal nur, um auch ältere Scripte laufbar zu halten. Leider sind die Softwareentwickler ein faules Pack. Denn als heutiger PHP-Programmierer sollte man aber auf jedenfall auf die Arrays zurückgreifen, was viele (z.T. auch aus Unwissen) nicht tun.

huschi.
 
recommendation

Überhaupt kann ich NUR EMPFEHLEN:
http://de2.php.net/manual/en/security.index.php
Es ist wirklich KRANK, wie manche proggen, oder es zumindest versuchen ;)
Ich bin durch diese Schlampigkeit an die kompletten Rootrechte.. alle PWs... usw.. bei einem Rootserver bei 1&1 reingekommen. Ok, Märchenstunde over, aber nehmt es euch zu Herzen.. es sind nicht immer so liebe "Hacker" wie ich es einer bin :D
 
vielen dank für den hint, it worked.

p.s. es würde zu lange dauern die scripts anzupassen, daher lass ich erstmal die globals zu. außerdem war mir schon vor langer zeit ersichtlich, dass probleme damit aufkommen könnten (etwa sicherheitslücken durch z.b. vorinitialisation der variablen durch benutzer), von daher habe ich es bei meinen scripts schon von anfang an berücksichtigt :)
 
You must log in or register to reply here.
Back
Top