Dieter Kroemer wrote:
Unter SuSE 8.1 war anscheinend "register_globals = On" noch eingetragen.
Welche Sicherheitsrisiken bekomme ich denn damit?
http://www.php.net/manual/de/security.registerglobals.php Da geht's aberr um Probleme deiner Skripte, die von aussen erzeugt werden. Wenn Schueler php-Skripte ohne sehr durchdachte Konfiguration in php.ini und httpd.conf auf deinem Webserver ausfuehren koennen, bist du vor Angriffen von Innen ueberhaupt nicht geschuetzt, egal was register_globals fuer einen Wert hat. open_basedir, upload_tmp_dir, ignore_user_abort, include_path, memory_limit, max_execution_time gehoeren ueber php_admin_value in httpd.conf fuer Schuelerskripte konfiguriert. Ausserdem studiere noch das Kapitel "Safe Mode" im PHP-Manual. http://www.php.net/manual/de/features.safe-mode.php -- Have fun, Peter