php probleme

Peter.Warasin(a)darkrealms.org wrote:

hallo

die probleme mit php sind recht klar (teilweise)
es wurde php 4.2.2 installiert
dies hat register_globals automatisch auf off (was eigentlich auch besser
ist)

es hat halt die folge dass man nicht mehr auf die variablen selber
zugreifen kann (wie es phpnuke macht und die anderen phpapplikationen auf
atlantis) sondern $HTTP_(POST|GET|SERVER|SESSION|COOKIE)_VARS verwenden
muss

ich koennte register_globals einschalten was aber natuerlich dann auch
sicherheitsmaessig schlechter ist.
(btw: eingeschaltetes register_globals ist auch das problem welches das
umgehen der administrationsoberflaeche-logins ermoeglicht wenn man es
falsch programmiert, martin siehe mails von 2.auguscht)

Solche Sicherheitslöcher sind uns leider auch bekannt :wink:

ich werde es wohl oder uebel einschalten muessen, allerdings sollte das
wirklich anders programmiert werden damit register_globals auch
ausgeschaltet werden kann

Was unsere Seite angeht, werden wir die Umstellung auf $HTTP_XX_VARS
auf die ToDo setzen!

Wir sind immer interessiert unsere Seite zu verbessern, speziell was die
Sicherheit angeht. Das Standard-PHPNuke ist äußerst unsicher, zumindest
wars unsere Ursprungsversion, und wir hatten einiges zu tun um wieder
ruhig schlafen zu können! Aber zum Glück ist es Free Software und wir
hatten zumindest die Möglichkeit es zu patchen.

mfg.
Patrick

Vielleicht dies kann eine kurzzeitige Loesung sein: ich habe gehoert,
man kann PHP Variablen fuer jede Seite mit Apache spezifizieren. Ich
denke, dies wird funktionieren:

<Directory /path/to/phpnuke>
  php_flag register_globals on
</Directory>

Matt Dunford said:

Vielleicht dies kann eine kurzzeitige Loesung sein: ich habe gehoert,
man kann PHP Variablen fuer jede Seite mit Apache spezifizieren. Ich
denke, dies wird funktionieren:

<Directory /path/to/phpnuke>
  php_flag register_globals on
</Directory>

klar, das funktioniert auch, habe ich auch vorgeschlagen, aber nur als
vorzeitige lösung, waere halt besser wenn man die variablen austauschen
würde.
wenns sein muss kann man das register_globals schon eingeschaltet lassen..
so wichtig ists dann auch wieder nicht :wink:

peter

Die beste lösung wäre wenn man ein "wrapper" scriptchen per include in
die config.inc.php "einklinkt".
Dan kann man _GET["blabla"] in $HTTP_GET_VARS["blabla"] und $blabla ...
umwandeln. Das würde das problem lösen.

bye, raf

bye, raf

Raf, schon zurück oder Versprechen gebrochen?
(Keine Computer im Urlaub)

bis dann
Christian

hallo
Raphael Vallazza sagte:

Die beste lösung wäre wenn man ein "wrapper" scriptchen per include in
umwandeln. Das würde das problem lösen.

klar.. so habe ich mir es auch gedacht

peter