AW: AW: PHP Ruckzuck
Thomas Berger
ThB at gymel.com
Do Mai 8 12:00:59 CEST 2003
Fritz, Tobias wrote:
>
> die Loesung war eine andere:
> seit PHP 4.1 (ca.) steht in der mitgelieferten php.ini-dist
>
> register_globals = Off
>
> das muss man fuer PHP Ruckzuck auf
>
> register_globals = On
>
> aendern. Auf die Idee bin ich gestern nicht gekommen, denn:
> in der Datei phpac.rtf (die man mit dem Paket phpac.exe von
> http://ftp.allegro-c.de/ac21/avanti-w/phpac.exe geliefert
> bekommt) steht extra:
>
> Wenn PHP 4.2.3: dann in der Konfigurationsdatei php.ini den Wert register_globals auf "off" setzen.
>
> Das sollte wohl eher heissen:
>
> in der Konfigurationsdatei php.ini den Wert register_globals auf "on" setzen.
Klassischer Konflikt: register_globals sollte unbedingt
auf "off" gesetzt sein, um Sicherheitsluecken zu vermeiden.
Als Systemadministrator wuerde ich mir zweimal ueberlegen,
ob bzw. wie ich eine Anwendung einsetze, die erfordert,
dass register_globals "on" ist.
Meine letzte Ueberpruefung von php-ruckzuck ergab, dass
durch die "globals" zumindest in php-ruckzuck keine
Sicherheitsluecken zu entstehen scheinen (bin als Cracker
aber nicht besonders phantasievoll), die Setzung in
php.ini ist aber global fuer alle php-Anwendungen auf
diesem Server.
viele Gruesse
Thomas Berger
Mehr Informationen über die Mailingliste Allegro