Navigation
 Startseite
 Fachbücher
 Forum
 Webmaster News
 Script Newsletter
 Kontakt
 Script Installation
 Php
 Php Tutorials
 Impressum

Community-Bereich
 kostenlos Registrieren
 Anmelden
 Benutzerliste

Script Datenbank
 Script Archiv
 Script Top 20
 Screenshots
 Testberichte

Suche
 
Script Seite

Unsere Php Scripts
 Counter Script
 Umfrage Script
 Bilder Upload Script
 Terminverwaltung
 Simple PHP Forum
 RSS Grabber

Script Mods
 phpBB Adsense Mode

Tools und Generatoren
 .htpasswd Generator
 md5 Generator
 base64 Generator
 ICQ Generator
 Colorpicker
 Unix timestamp Tool
 TLD Liste
 Webkatalog Verzeichnis

Partner
Sprüche Treff

speicherzentrum.d...
Bei den Anbieter bekommt man Webspace, Domains und...
http://www.speicherzentrum.de
Hosterplus.de
Bekommen Sie Speicherplatz (Webspace), Domains und...
http://www.Hosterplus.de
 
 
 

[Tipp] Register Globals abschalten

Sie befinden sich: Home > Webmaster News

Quelltext: PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
Was bedeutet eigentlich "Register Globals"

Wenn ihr Server-Administrator oder Ihre Hosting-Firma PHP auf dem Webserver installiert, so können diese eine Vielzahl von Einstellungen machen. Darunter ist auch die Einstellung "Register Globals", die auf "on" oder auf "off" stehen kann.
Nehmen wir folgendes kleines Script als Beispiel:

<?php 
echo $wert;
?>

Wenn wir das Script nun unter dem namen rg.php auf unserem Webserver speichern und aufrufen, so wird es, wie man unschwer sehen kann, eher überhaupt nichts tun. Eine Variable $wert wird zwar ausgegeben, vorab aber nicht mit einem Inhalt versehen.
Anders mag es sein, wenn wir das Script wie folgt aufrufen:

rg.php?wert=Hallo

Wenn in den PHP-Einstellungen Register Globals on stehen, dann wird durch diesen Aufruf des Scriptes mit dem Parameter automatisch eine variable $wert ereugt und mit dem Inhalt des Parameters "wert" versorgt. Eigentlich keine sehr unpraktische Sache.

Ist Register Globals auf "off" gesetzt, so funktioniert diese Wertübergabe so einfach nicht, sondern wir müssen Sie programmieren:

<?php 
$wert 
$_GET[wert];
echo 
$wert;
?>

PHP stellt uns alle übergebenen Parameter im Array $_GET[] zur Verfügung (Schreibweise genau beachten!).

Ähnlich verhält es sich mit Variablen, die per POST aus einem Formular übergeben werden. Mit Register Globals on stehen diese sofort zur Verfügung, mit Register Globals =off muss man Sie aus einem Arrray $_POST[] holen.

Viele im Umlauf befindliche Scripte sind nun so programmiert, dass sie darauf vertrauen, dass Register Globals on steht. Daher setzen die meisten Hoster und Systemadministratoren auch diese Einstellung, da andererseits zu viele Beschwerden kämen, weil "Scripte nicht laufen".

Schreiben Sie Ihren Code grundsätzlich immer so, als ob Register Globals off stünde und investieren Sie die paar Sekunden um das $_GET oder das $_POST-Array anzusprechen.

Und warum sollte Register Globals immer auf off stehen?
Die Einstellung Register Globals=on stellt ein erhebliches Sicherheitsrisiko dar, weil jede an das Script übergebene Variable ja sofort und unmittelbar im Code vorhanden ist. Hier ein kleiner Beispielcode: 

<?php 
// Session starten und nachschauen, ob admin angemeldet ist
session_start(); 

if(
$_SESSION['angemeldet']=='admin'
  
$berechtigung "darfalles";
  
// mehr Code
}

if(
$berechtigung == "darfalles"// Nur bei Admin
  
zeigeAdminMenu();
}
?>

Das Problem an diesem Code erkennt man dann, wenn man prüft, was bei diesem Aufruf des Scriptes passiert:
script.php?berechtigung=darfalles

(Quelle: Wolfgang ), Eingetragen am 20.06.2008


Schreib ein Kommentar

Name
Mail
Webseite
Kommentar