Nawigacja

Aktualnie online

Gości online: 7

Użytkowników online: 0

Łącznie użytkowników: 25,386
Najnowszy użytkownik: Hisfatt

Logowanie

Zarejestruj się

Odzyskaj hasło

Shoutbox

Musisz zalogować się, aby móc dodać wiadomość.

Zbigniew@

28.04.2024 21:33:51

Nareszcie udało się .V9 Document checking completed. No errors or warnings to show.

JazOOn

27.04.2024 21:35:25

Jazda. Udało się. Firma rusza.

Zbigniew@

01.04.2024 12:28:45

Wszystkiego najlepszego z okazji świąt.

JazOOn

28.02.2024 19:25:31

ja zostałem przy fusionie ale nazywa się 360. Projektowanie i druk 3d...

MajsterBieda

25.02.2024 00:12:42

Ponad 20 lat .... tosz to sioook panie....

Archiwum shoutboksa

O nie! Ta strona potrzebuje włączonej obsługi języka JavaScript!

Twoja przeglądarka nie obsługuje tego języka lub ma wyłączoną jego obsługę. Włącz wykonywanie kodu JavaScript w swojej przeglądarce internetowej, aby skorzystać ze wszystkich funkcji strony
lub skorzystaj z programu obsługującego język JavaScript, np. Mozilla Firefox, Apple Safari, Opera, Google Chrome lub Windows Internet Explorer w wersji wyższej niż 6.

Zobacz temat

Polski Oficjalny Support PHP-Fusion » PHP-Fusion v5.00-v6.01 Support » Tylko o PHP-Fusion v6.01.xx

Czy emulowane register_globals jest poważnym zagrożeniem?
Konto ukryte	#1 Dodany dnia 23.02.2009 08:57:19
Początkujący Postów: 119 Ostrzeżeń: 6 Data rejestracji: 17.12.2005 10:56 ZBANOWANY: Dożywotnio	Witam, z tego co zauważyłem, problem dotyczy chyba wszystkich wersji PFv6. Na początku maincore.php znajdujemy taki oto kod: GeSHi: PHP `if (ini_get('register_globals') != 1) { if ((isset($_POST) == true) && (is_array($_POST) == true)) extract($_POST, EXTR_OVERWRITE); if ((isset($_GET) == true) && (is_array($_GET) == true)) extract($_GET, EXTR_OVERWRITE); } Zinterpretowano w sekund: 0.013, wykorzystano GeSHi 1.0.8.10` Odpowiada on za "rozpakowanie" tablic POST i GET gdy opcja register_globals jest wyłączona. De facto robi więc to samo co ona, tyle że z poziomu samego skryptu. Mam więc pytanie do administracji, która chyba najlepiej zna silnik: czy jest to oby na pewno bezpieczne rozwiązanie? W plikach typu news.php czy readarticle.php wszędzie są od razu odwołania do zmiennych, przykładowo: GeSHi: PHP `if(isset($cat_id)) kod; Zinterpretowano w sekund: 0.011, wykorzystano GeSHi 1.0.8.10` Obecnie przerabiam dużo w swoim serwisie, więc poprawienie kilku(nastu) plików to nie problem, zależy mi jednak na jak największym poziomie bezpieczeństwa. W PF7 tego kodu już nie ma i stosuje się zalecane odwołania do superglobalnych. Co radzicie?


Wścibski Gość	Dodany dnia 04.05.2024 02:05:18
Pan Kontekstualny Postów: n^x Data rejestracji: Zawsze
IP: localhost

Pieka	#2 Dodany dnia 23.02.2009 09:06:54
Postów: 19882 Pomógł: 767 v7.02.03 Data rejestracji: 23.02.2005 18:12	LukasAMD napisał/a: ..W PF7 tego kodu już nie ma i stosuje się zalecane odwołania do superglobalnych. Co radzicie? Dokladnie i dlatego m.in. radzimy wykonac aktualizacje strony. To jedna z podstawowych roznic pomiedzy v6 i v7. Praca przy wlaczonym register_globals to otwarcie drzwi dla potencjalnych wlamywaczy, tym bardziej w przypadku mlodych koderow, ktorzy nie zwracaja uwagi na bezpieczenstwo swoich skryptow. Wiekszosc ostatnio odnotowanych wlaman polegala na wykorzystaniu wlaczonej w/w funkcji + brak zabezpieczenia kodu, czyli tzw. dziury. Jestem jaki jestem


Konto ukryte	#3 Dodany dnia 23.02.2009 09:11:17
Początkujący Postów: 119 Ostrzeżeń: 6 Data rejestracji: 17.12.2005 10:56 ZBANOWANY: Dożywotnio	U mnie aktualizacja odpada bo mam w sumie EFIV po takich cięciach, że nawet PF5 miało więcej rzeczy Jako że elementów z samego EF już nie ma (a dla mnie to oznacza, że korzystam z PF), napisałem w tym dziale. Dodatkowe zmiany sytuacji nie ułatwiają Niemniej jednak dzięki za info, usunę sobie tą dziurę.

Przejdź do forum:

Twój link u nas!

Nawigacja

Główne menu

Komunikacja

Elementarz

Dokumentacja

Aktualnie online

Logowanie

Shoutbox

Zobacz temat