Mailinglist Archive: opensuse-de (2429 mails)
| < Previous | Next > |
Re: register_globals
- From: Christian Boltz <suse@xxxxxxxxx>
- Date: Mon, 30 Jan 2006 01:49:19 +0100
- Message-id: <200601300149.21128@xxxxxxxxxxxxxxx>
Hallo Jan, hallo Taner, hallo Leute,
Am Sonntag, 29. Januar 2006 16:33 schrieb Jan Friedrich Gehring:
> Taner Ayaydin wrote:
> >unser PHP Programmierer meint, ich soll die Register_Globals von off
> > auf on stellen. Wie stelle ich das denn an nem Server um?
Am Besten gar nicht.
Stell es am Programmierer um, nicht am Server ;-))
> Oder (meiner bescheidenen Meinung nach die bessere Moeglichkeit)
> Der Entwickler soll in der .htaccess Datei seine Einstellungen die er
> benoetigt Taetigen koennen. Dazu musst du in der Apache Konfiguration
> fuer sein Verzeichnis
> AllowOverride auf All setzten.
Was ich wiederum für ein Sicherheitsrisiko halte - dann kann man mit
der .htaccess nämlich _zu viel_ überschreiben.
Lieber eine Datei in /etc/apache2/conf.d/ (Name: *.conf) anlegen und
darin mit
<Directory /da/gehts/lang>
# spezielle Einstellungen für /da/gehts/lang hier eintragen
</Directory>
die nötigen Einträge machen. Ja, das darf nur root - aber das ist IMHO
auch gut so ;-)
AllowOverride AuthConfig Indexes Limit halte ich für OK, FileInfo ist
ein Grenzfall und Options will man auf keinen Fall freigeben. (Gründe
auf Anfrage - *gähn* ;-)
> Dann kann er in der .htaccess Datei schreiben: php_value
> register_globals On
Das kann er lang probieren - IIRC braucht man entweder php_flag oder man
muss eine 1 statt On verwenden.
> >Meines Wissens stellt dies doch ein Sicherheitsrisiko dar ne oder
> > habe ich das falsch im Gedächtnis?
>
> Kommt auf den Programmierer an. Wenn er mit register_globals On
> gewissenhaft programmiert ist es ok.
Wenn heutzutage jemand gewissenhaft PHP programmiert, verwendet er
definitiv *nicht* register_globals.
Dein "ist es OK" wurde durch diese Schlussfolgerung gerade widerlegt ;-)
Ach ja: Wenn man in der php.ini error_reporting = E_ALL setzt,
fördert das zusätzlich die Codequalität ;-)
> Es schleicht sich aber leichter eine Sicherheitsluecke ein.
Das auf jeden Fall - insbesondere, wenn man nicht damit rechnet, also
bei Programmfehlern und/oder unerwarteten ("bösen") Eingabedaten.
Gruß
Christian Boltz
--
Widerstand ist zwecklos (wenn er kleiner als 1 Ohm ist).
Am Sonntag, 29. Januar 2006 16:33 schrieb Jan Friedrich Gehring:
> Taner Ayaydin wrote:
> >unser PHP Programmierer meint, ich soll die Register_Globals von off
> > auf on stellen. Wie stelle ich das denn an nem Server um?
Am Besten gar nicht.
Stell es am Programmierer um, nicht am Server ;-))
> Oder (meiner bescheidenen Meinung nach die bessere Moeglichkeit)
> Der Entwickler soll in der .htaccess Datei seine Einstellungen die er
> benoetigt Taetigen koennen. Dazu musst du in der Apache Konfiguration
> fuer sein Verzeichnis
> AllowOverride auf All setzten.
Was ich wiederum für ein Sicherheitsrisiko halte - dann kann man mit
der .htaccess nämlich _zu viel_ überschreiben.
Lieber eine Datei in /etc/apache2/conf.d/ (Name: *.conf) anlegen und
darin mit
<Directory /da/gehts/lang>
# spezielle Einstellungen für /da/gehts/lang hier eintragen
</Directory>
die nötigen Einträge machen. Ja, das darf nur root - aber das ist IMHO
auch gut so ;-)
AllowOverride AuthConfig Indexes Limit halte ich für OK, FileInfo ist
ein Grenzfall und Options will man auf keinen Fall freigeben. (Gründe
auf Anfrage - *gähn* ;-)
> Dann kann er in der .htaccess Datei schreiben: php_value
> register_globals On
Das kann er lang probieren - IIRC braucht man entweder php_flag oder man
muss eine 1 statt On verwenden.
> >Meines Wissens stellt dies doch ein Sicherheitsrisiko dar ne oder
> > habe ich das falsch im Gedächtnis?
>
> Kommt auf den Programmierer an. Wenn er mit register_globals On
> gewissenhaft programmiert ist es ok.
Wenn heutzutage jemand gewissenhaft PHP programmiert, verwendet er
definitiv *nicht* register_globals.
Dein "ist es OK" wurde durch diese Schlussfolgerung gerade widerlegt ;-)
Ach ja: Wenn man in der php.ini error_reporting = E_ALL setzt,
fördert das zusätzlich die Codequalität ;-)
> Es schleicht sich aber leichter eine Sicherheitsluecke ein.
Das auf jeden Fall - insbesondere, wenn man nicht damit rechnet, also
bei Programmfehlern und/oder unerwarteten ("bösen") Eingabedaten.
Gruß
Christian Boltz
--
Widerstand ist zwecklos (wenn er kleiner als 1 Ohm ist).
| < Previous | Next > |