phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

[php] Register Globals

Roland Tapken php_(at)_phpcenter.de
Sat, 20 Apr 2002 17:03:33 +0200

Previous message: [php] Register Globals
Next message: [php] caching-Problem
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Hi!

> Danke für den guten Tipp.

Noch ein Hinweis:
Verwende diese Methode nur, wenn du register_globals = off gesetzt hast.
Sonst öffnet sich bei Versionen < 4.1.0 eine große Sicherheitslücke:

Jemand sendet als Parameter _SERVER[foo]=bar, dann versucht das Script
nicht, die Arrays zu setzen, und der Angreifer kann den Inhalt der Arrays
selber setzen, inkl. der eigentlich sicheren $_SERVER, $_SESSION und
$_ENV-Arrays.

Besser ist folgende If-Anweisung:
if (version_compare(PHP_VERSION, '4.1.0') < 0) {
    /* ... */
}

Hab diese Lücke ürbigens selber gerade erst bemerkt :D.

cu, Roland Tapken
-- 
Please reply to:  tapken_(at)_engter.de
PGP Public Key: http://www.engter.de/~tapkenea/gnupg_roland.txt
  ~~~ I'm a signature-virus. Please copy me into your sig. ~~~

Previous message: [php] Register Globals
Next message: [php] caching-Problem
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

php::bar PHP Wiki - Listenarchive