Warnung vor PHP 4.2.3!

Thomas Berger ThB at gymel.com
Sa Nov 23 21:25:30 CET 2002


Stefan Aumann antwortete Herrn Allers:

> > Und PHPAC lief ausgerechnet auf demjenigen Rechner nicht, auf dem PHP 4.2.3
> > (das neuere also!) installiert war!
> >
> 
> ich bitte um Nachsicht, falls diese Problematik in der Liste schon
> diskutiert wurde, aber Probleme mit PHP treten häufig dann auf,

nein, wurde noch nicht diskutiert, haette aber vermutlich
sollen...

> wenn in der Konfigurationsdatei "php.ini" der Wert "register_globals"
> auf "off" gesetzt ist. Das bedeutet, das Formularvariablen im Skript
> nicht (mehr) automatisch unter ihrem Namen angesprochen werden können,
> sondern explizit importiert werden müssen, z. B. so:
> 
>   $urS = HTTP_GET_VARS["urS"] bzw.
>   $urS = HTTP_POST_VARS["urS"]
> 
> (je nachdem, ob das betreffende Skript über POST oder GET aufgerufen
> wurde). Da "register_globals" seit der Version 4.2 in der Grundein-
> stellung auf "off" gesetzt ist, könnte das von Ihnen beschriebene
> Problem darauf zurückzuführen sein. Wenn Sie die Variablen in der
> neuen Version nicht wie beschrieben importieren möchten, versuchen
> Sie es doch einmal mit "register_globals=on". 
[...]

Aber moeglichst nur testweise um zu schauen, ob es daran liegt
(fluechtiger Blick auf die php-Scripte von phpac scheint dies 
allerdings zu bestaetigen): register_globals=on hat sich
ja als gewaltiges Sicherheitsproblem erwiesen, daher ist
es seit einiger Zeit "deprecated".

Im uebrigen moechte ich sowieso dringend empfehlen, phpac
nicht einzusetzen, weil es gravierende Sicherheitsprobleme
hat.

viele Gruesse
Thomas Berger




Mehr Informationen über die Mailingliste Allegro