Hoi iedereen,

Voor een script waar ik de verkooprechten van heb, moet register_globals ON op on staan.

Bij sommige providers staat hij inderdaad ook aan, maar bij een aantal providers staat hij ook niet aan. Sommige providers die je dan mailt zetten hem gelijk voor je op on, en dan werkt het script uitstekend, maar sommige providers weigeren het op on te zetten omdat ze dit onveilig vinden.

Nu is mijn vraag is register_globals ON inderdaad onveilig? Zo ja waarom is het dan onveilig?

Is er een manier om het eventueel te omzeilen zodat providers het niet meer aan hoeven te zetten en onderstaande toch werkt?

Het betreft hier het marktplaatsscript wat ik wel eens te koop heb staan. Als register_globals op off staat, dan kan men niet inloggen in het admin gedeelte en kan men geen subrubrieken kiezen voor het plaatsen van advertenties. Als dit wel aanstaat werkt het uitstekend !

Alvast bedankt voor jullie hulp.

Dat heeft toch te maken met "get"?
Gewoon altijd $_GET['variabele'] of $_POST['variabele'] gebruiken, dan heb je nergens last van als het goed is.
(Desnoods één keer bovenaan de pagina alle gets definiëren....)

Onveilig?
Voor zover ik weet niet, alleen wel altijd userinput controleren/strippen.

.htaccess
Als je .htaccess bestanden kunt gebruiken kun je daarin gewoon het volgende vermelden:

Code:

php_flag register_globals on

Hoi Edwin,

Bedankt voor je reactie. Ik heb de link van dit topic doorgestuurd naar mijn webmaster. Ik hoor nu namelijk allerlei verschillende verhalen, de een zegt dit, de ander zegt weer dit. Zelf heb ik er geen verstand van.

Oke Ronald, succes ermee;)

Origineel gepost door Ronald H

Hoi Edwin,

Bedankt voor je reactie. Ik heb de link van dit topic doorgestuurd naar mijn webmaster. Ik hoor nu namelijk allerlei verschillende verhalen, de een zegt dit, de ander zegt weer dit. Zelf heb ik er geen verstand van.

op de vraag "is het onveilig" antwoord ik nee. Is een script dat register globals vereist dus wel veilig?
Spijtig genoeg in 99% van de gevallen niet.

Het komt er op neer dat als iemand een url aanroept via post of get
vb http://www.example.com/pagina.php?blaat=boe
deze variabele blaat in php kan worden opgeroepen via $_GET['blaat']

als register_globals aan staat, wordt deze variabele ook automatisch omgezet naar de makkelijker bereikbare variabele $blaat

In een onveilig script kan je nu volgende situatie hebben:

Code:

//Code om naam en wachtwoord te controleren
....

if($ingelogd == true){
  geef_alle_toegang();
}

Als register_globals uit staat, bestaat de variabele $ingelogd slechts als jij ze zelf aanmaakt in het script.
Staat register_globals aan, dan kan deze ook worden aangemaakt door http://www.example.com/pagina.php?ingelogd=true aan te roepen.

Een goede programmeur weet dit en zal voor hij de inlog-controle doet eerst de variabele $ingelogd leeg maken ofzo.

Daar komt nog bij dat al sinds enkele PHP versies terug er wordt aangedrongen om $_GET en $_POST te gebruiken met register_globals off. Dus als register_globals vereist is heb je meestal te maken met een zwaar verouderd script, of een programmeur die niet met zijn tijd meegaat.

Misschien makkelijk om te weten waarom het nou onveilig is:

admin.php

PHP Code:

if(isset($isAdmin)) {
print "wellkom admin";
} else {
print "geen toegang";
} 


Die isAdmin variable kan komen uit ieder GPC(Get/Post/Cookie) request...
Een gebruiker kan dmv deze url dus gewoon toegang krijgen:
admin.php?isAdmin=1
Erg onveilig dus dat providers dit aan laten staan!

Dirk was me voor ;)

O.K. jongens. Bedankt voor de uitleg. Het gaat mij persoonlijk mijn pet te boven. Maar verwacht wel dat webmaster hier wat mee kan. Zo te zien dus duidelijk verbeteringsvatbaar dit script op veiligheid.

Ik zie nu toevallig op wht ook een topic omtrent dit probleem.

http://www.webhostingtalk.nl/webhost...ister-off.html

alleen daar wil iemand het juist uit hebben staan. Maar heeft wel met elkaar te maken. Ook deze link heb ik doorgestuurd naar webmaster.