Mailinglist Archive: opensuse-de (4880 mails)

[Gerald Engl <gerald.engl@xxxxxxxxxxx>]

Hallo Christian

Christian Boltz wrote:
> Hallo Gerald, hallo Leute,
>
> Am Mittwoch, 19. November 2003 12:44 schrieb Gerald Engl:
>
> > [diverse Config-Optionen für Apache2 & co, passt soweit]
>
>
> > In der /etc/php.ini ggf. :
> >
> > register_globals = On
>
>
> NEEEEEIIIIIIIIINNNNNNNNN!!!!!!!!!!!!!!

Aua, meine Ohren schmerzen. Du mußt nicht gleich schreien.

> Schreib Deine PHP-Scripte so, dass sie auf $_GET, $_POST usw. zugreifen.
> register_globals ist nicht ohne Grund seit einigen PHP-Versionen von 
> Haus aus abgeschaltet - bei unsicher geschriebenen Scripten (nicht 
> initialisierte Variablen) kann man sich einige Sicherheitsprobleme 
> einhandeln!

Da hast Du recht; Das steht ja auch deutlich genug in der php.ini.

Ich denke, daß man es fürs _Testen_ durchaus vertreten kann, 
"register_globals" in der php.ini zu verwenden.

Oft genug tritt sonst folgender Fall auf: Alte Skripte laufen nicht, 
da die Variablen nicht initialisiert sind. Folglich wird stundenlang 
der Fehler in der Konfiguration von Apache gesucht.

Hinterher kann/sollte/muß man sich natürlich Gedanken machen, wie 
man die Sache "sauber ans laufen" bekommt.

> So, jetzt zum Problem "ich habe aber noch alte Scripte..."
> Man kann register_globals auch spezifisch für ein Verzeichnis 
> aktivieren, wenn ein altes Script es unbedingt erfordert:
> <Directory /bloedes/altes/script>
>     php_flag register_globals on
> </Directory>

Die wesentlich bessere Lösung. ;-)

> Die beste Lösung für das "ich habe aber noch alte Scripte..."-Problem 
> ist übrigens Rattis PraktiScript: "He, Praktikant! Bis Montag müssen 
> die Scripte mit register_globals = off sauber laufen!"

Das meinst Du nicht wirklich ernst. Würde ein sehr schlechtes Licht 
auf deine Geisteshaltung werfen. Aua, Aua, Aua.   ;-)

Gruß

Gerald

--
Gerald Engl
Bunsenstrasse 13
81735 Muenchen
089/676736