Peter.Warasin@darkrealms.org wrote:
hallo
die probleme mit php sind recht klar (teilweise) es wurde php 4.2.2 installiert dies hat register_globals automatisch auf off (was eigentlich auch besser ist)
es hat halt die folge dass man nicht mehr auf die variablen selber zugreifen kann (wie es phpnuke macht und die anderen phpapplikationen auf atlantis) sondern $HTTP_(POST|GET|SERVER|SESSION|COOKIE)_VARS[] verwenden muss
ich koennte register_globals einschalten was aber natuerlich dann auch sicherheitsmaessig schlechter ist. (btw: eingeschaltetes register_globals ist auch das problem welches das umgehen der administrationsoberflaeche-logins ermoeglicht wenn man es falsch programmiert, martin siehe mails von 2.auguscht)
Solche Sicherheitslöcher sind uns leider auch bekannt ;)
ich werde es wohl oder uebel einschalten muessen, allerdings sollte das wirklich anders programmiert werden damit register_globals auch ausgeschaltet werden kann
Was unsere Seite angeht, werden wir die Umstellung auf $HTTP_XX_VARS[] auf die ToDo setzen!
Wir sind immer interessiert unsere Seite zu verbessern, speziell was die Sicherheit angeht. Das Standard-PHPNuke ist äußerst unsicher, zumindest wars unsere Ursprungsversion, und wir hatten einiges zu tun um wieder ruhig schlafen zu können! Aber zum Glück ist es Free Software und wir hatten zumindest die Möglichkeit es zu patchen.
mfg. Patrick
On Tue, Aug 20, 2002 at 06:48:14PM +0200, Patrick Ohnewein wrote:
Peter.Warasin@darkrealms.org wrote:
hallo
die probleme mit php sind recht klar (teilweise) es wurde php 4.2.2 installiert dies hat register_globals automatisch auf off (was eigentlich auch besser ist)
es hat halt die folge dass man nicht mehr auf die variablen selber zugreifen kann (wie es phpnuke macht und die anderen phpapplikationen auf atlantis) sondern $HTTP_(POST|GET|SERVER|SESSION|COOKIE)_VARS[] verwenden muss
ich koennte register_globals einschalten was aber natuerlich dann auch sicherheitsmaessig schlechter ist. (btw: eingeschaltetes register_globals ist auch das problem welches das umgehen der administrationsoberflaeche-logins ermoeglicht wenn man es falsch programmiert, martin siehe mails von 2.auguscht)
Solche Sicherheitslöcher sind uns leider auch bekannt ;)
ich werde es wohl oder uebel einschalten muessen, allerdings sollte das wirklich anders programmiert werden damit register_globals auch ausgeschaltet werden kann
Was unsere Seite angeht, werden wir die Umstellung auf $HTTP_XX_VARS[] auf die ToDo setzen!
Wir sind immer interessiert unsere Seite zu verbessern, speziell was die Sicherheit angeht. Das Standard-PHPNuke ist äußerst unsicher, zumindest wars unsere Ursprungsversion, und wir hatten einiges zu tun um wieder ruhig schlafen zu können! Aber zum Glück ist es Free Software und wir hatten zumindest die Möglichkeit es zu patchen.
Vielleicht dies kann eine kurzzeitige Loesung sein: ich habe gehoert, man kann PHP Variablen fuer jede Seite mit Apache spezifizieren. Ich denke, dies wird funktionieren:
<Directory /path/to/phpnuke> php_flag register_globals on </Directory>
Matt Dunford said:
Vielleicht dies kann eine kurzzeitige Loesung sein: ich habe gehoert, man kann PHP Variablen fuer jede Seite mit Apache spezifizieren. Ich denke, dies wird funktionieren:
<Directory /path/to/phpnuke> php_flag register_globals on
</Directory>
klar, das funktioniert auch, habe ich auch vorgeschlagen, aber nur als vorzeitige lösung, waere halt besser wenn man die variablen austauschen würde. wenns sein muss kann man das register_globals schon eingeschaltet lassen.. so wichtig ists dann auch wieder nicht ;)
peter
Die beste lösung wäre wenn man ein "wrapper" scriptchen per include in die config.inc.php "einklinkt". Dan kann man _GET["blabla"] in $HTTP_GET_VARS["blabla"] und $blabla ... umwandeln. Das würde das problem lösen.
bye, raf
Am Fre, 2002-08-23 um 08.55 schrieb Peter Warasin:
Matt Dunford said:
Vielleicht dies kann eine kurzzeitige Loesung sein: ich habe gehoert, man kann PHP Variablen fuer jede Seite mit Apache spezifizieren. Ich denke, dies wird funktionieren:
<Directory /path/to/phpnuke> php_flag register_globals on
</Directory>
klar, das funktioniert auch, habe ich auch vorgeschlagen, aber nur als vorzeitige lösung, waere halt besser wenn man die variablen austauschen würde. wenns sein muss kann man das register_globals schon eingeschaltet lassen.. so wichtig ists dann auch wieder nicht ;)
peter
https://secure.pcnotruf.net/mailman/listinfo/lugbz-list LUGBZ is pcn.it-powered
bye, raf
Raf, schon zurück oder Versprechen gebrochen? (Keine Computer im Urlaub)
bis dann Christian
-
Christian Peer -
Matt Dunford -
Patrick Ohnewein -
Peter Warasin -
Raphael Vallazza