[Tipp] Register Globals abschaltenSie befinden sich: Home > Webmaster News
Was bedeutet eigentlich "Register Globals"
Wenn ihr Server-Administrator oder Ihre Hosting-Firma PHP auf dem Webserver installiert, so können diese eine Vielzahl von Einstellungen machen. Darunter ist auch die Einstellung "Register Globals", die auf "on" oder auf "off" stehen kann.
Nehmen wir folgendes kleines Script als Beispiel:
<?php
echo $wert;
?>
Wenn wir das Script nun unter dem namen rg.php auf unserem Webserver speichern und aufrufen, so wird es, wie man unschwer sehen kann, eher überhaupt nichts tun. Eine Variable $wert wird zwar ausgegeben, vorab aber nicht mit einem Inhalt versehen.
Anders mag es sein, wenn wir das Script wie folgt aufrufen:
rg.php?wert=Hallo
Wenn in den PHP-Einstellungen Register Globals = on stehen, dann wird durch diesen Aufruf des Scriptes mit dem Parameter automatisch eine variable $wert ereugt und mit dem Inhalt des Parameters "wert" versorgt. Eigentlich keine sehr unpraktische Sache.
Ist Register Globals auf "off" gesetzt, so funktioniert diese Wertübergabe so einfach nicht, sondern wir müssen Sie programmieren:
<?php
$wert = $_GET[wert];
echo $wert;
?>
PHP stellt uns alle übergebenen Parameter im Array $_GET[] zur Verfügung (Schreibweise genau beachten!).
Ähnlich verhält es sich mit Variablen, die per POST aus einem Formular übergeben werden. Mit Register Globals = on stehen diese sofort zur Verfügung, mit Register Globals =off muss man Sie aus einem Arrray $_POST[] holen.
Viele im Umlauf befindliche Scripte sind nun so programmiert, dass sie darauf vertrauen, dass Register Globals = on steht. Daher setzen die meisten Hoster und Systemadministratoren auch diese Einstellung, da andererseits zu viele Beschwerden kämen, weil "Scripte nicht laufen".
Schreiben Sie Ihren Code grundsätzlich immer so, als ob Register Globals = off stünde und investieren Sie die paar Sekunden um das $_GET oder das $_POST-Array anzusprechen.
Und warum sollte Register Globals immer auf off stehen?
Die Einstellung Register Globals=on stellt ein erhebliches Sicherheitsrisiko dar, weil jede an das Script übergebene Variable ja sofort und unmittelbar im Code vorhanden ist. Hier ein kleiner Beispielcode:
<?php
// Session starten und nachschauen, ob admin angemeldet ist
session_start();
if($_SESSION['angemeldet']=='admin') {
$berechtigung = "darfalles";
// mehr Code
}
if($berechtigung == "darfalles") { // Nur bei Admin
zeigeAdminMenu();
}
?>
Das Problem an diesem Code erkennt man dann, wenn man prüft, was bei diesem Aufruf des Scriptes passiert:
script.php?berechtigung=darfalles
(Autor:  Wolfgang), Eingetragen am 20.06.2008 
Schreib ein Kommentar
|
![[Tipp] Register Globals abschalten](https://www.php-space.info/images_logo-von-php-space.png){kind=logo}
