Hallo Jan, hallo Taner, hallo Leute, Am Sonntag, 29. Januar 2006 16:33 schrieb Jan Friedrich Gehring:
Taner Ayaydin wrote:
unser PHP Programmierer meint, ich soll die Register_Globals von off auf on stellen. Wie stelle ich das denn an nem Server um?
Am Besten gar nicht. Stell es am Programmierer um, nicht am Server ;-))
Oder (meiner bescheidenen Meinung nach die bessere Moeglichkeit) Der Entwickler soll in der .htaccess Datei seine Einstellungen die er benoetigt Taetigen koennen. Dazu musst du in der Apache Konfiguration fuer sein Verzeichnis AllowOverride auf All setzten.
Was ich wiederum für ein Sicherheitsrisiko halte - dann kann man mit
der .htaccess nämlich _zu viel_ überschreiben.
Lieber eine Datei in /etc/apache2/conf.d/ (Name: *.conf) anlegen und
darin mit
Dann kann er in der .htaccess Datei schreiben: php_value register_globals On
Das kann er lang probieren - IIRC braucht man entweder php_flag oder man muss eine 1 statt On verwenden.
Meines Wissens stellt dies doch ein Sicherheitsrisiko dar ne oder habe ich das falsch im Gedächtnis?
Kommt auf den Programmierer an. Wenn er mit register_globals On gewissenhaft programmiert ist es ok.
Wenn heutzutage jemand gewissenhaft PHP programmiert, verwendet er definitiv *nicht* register_globals. Dein "ist es OK" wurde durch diese Schlussfolgerung gerade widerlegt ;-) Ach ja: Wenn man in der php.ini error_reporting = E_ALL setzt, fördert das zusätzlich die Codequalität ;-)
Es schleicht sich aber leichter eine Sicherheitsluecke ein.
Das auf jeden Fall - insbesondere, wenn man nicht damit rechnet, also bei Programmfehlern und/oder unerwarteten ("bösen") Eingabedaten. Gruß Christian Boltz -- Widerstand ist zwecklos (wenn er kleiner als 1 Ohm ist).