Zobacz temat
Czy emulowane register_globals jest poważnym zagrożeniem?
|
|
Konto ukryte |
Dodany dnia 23.02.2009 08:57:19
|
Początkujący Postów: 119 Ostrzeżeń: 6 Data rejestracji: 17.12.2005 10:56 ZBANOWANY: Dożywotnio |
Witam, z tego co zauważyłem, problem dotyczy chyba wszystkich wersji PFv6. Na początku maincore.php znajdujemy taki oto kod:
Odpowiada on za "rozpakowanie" tablic POST i GET gdy opcja register_globals jest wyłączona. De facto robi więc to samo co ona, tyle że z poziomu samego skryptu. Mam więc pytanie do administracji, która chyba najlepiej zna silnik: czy jest to oby na pewno bezpieczne rozwiązanie? W plikach typu news.php czy readarticle.php wszędzie są od razu odwołania do zmiennych, przykładowo:
Obecnie przerabiam dużo w swoim serwisie, więc poprawienie kilku(nastu) plików to nie problem, zależy mi jednak na jak największym poziomie bezpieczeństwa. W PF7 tego kodu już nie ma i stosuje się zalecane odwołania do superglobalnych. Co radzicie? |
|
|
Wścibski Gość |
Dodany dnia 04.05.2024 02:05:18
|
Pan Kontekstualny Postów: n^x Data rejestracji: Zawsze |
|
IP: localhost | |
Pieka |
Dodany dnia 23.02.2009 09:06:54
|
Postów: 19882 Pomógł: 767 v7.02.03 Data rejestracji: 23.02.2005 18:12 |
LukasAMD napisał/a: ..W PF7 tego kodu już nie ma i stosuje się zalecane odwołania do superglobalnych. Co radzicie? Dokladnie i dlatego m.in. radzimy wykonac aktualizacje strony. To jedna z podstawowych roznic pomiedzy v6 i v7. Praca przy wlaczonym register_globals to otwarcie drzwi dla potencjalnych wlamywaczy, tym bardziej w przypadku mlodych koderow, ktorzy nie zwracaja uwagi na bezpieczenstwo swoich skryptow. Wiekszosc ostatnio odnotowanych wlaman polegala na wykorzystaniu wlaczonej w/w funkcji + brak zabezpieczenia kodu, czyli tzw. dziury. Jestem jaki jestem
|
|
|
Konto ukryte |
Dodany dnia 23.02.2009 09:11:17
|
Początkujący Postów: 119 Ostrzeżeń: 6 Data rejestracji: 17.12.2005 10:56 ZBANOWANY: Dożywotnio |
U mnie aktualizacja odpada bo mam w sumie EFIV po takich cięciach, że nawet PF5 miało więcej rzeczy Jako że elementów z samego EF już nie ma (a dla mnie to oznacza, że korzystam z PF), napisałem w tym dziale. Dodatkowe zmiany sytuacji nie ułatwiają Niemniej jednak dzięki za info, usunę sobie tą dziurę. |
|
Przejdź do forum: |