Справочник функций

Ваш аккаунт

Войти через: 
Забыли пароль?
Регистрация
Информацию о новых материалах можно получать и без регистрации:

Почтовая рассылка

Подписчиков: -1
Последний выпуск: 19.06.2015

Globals

365
27 апреля 2005 года
MasterSID
230 / / 23.02.2003
Слышал когда-то на этом форуме о том, что глобальные переменные небезопасно использовать. Можно узнать почему?
1.9K
27 апреля 2005 года
kasap
168 / / 07.04.2005
Цитата:
Originally posted by MasterSID
Слышал когда-то на этом форуме о том, что глобальные переменные небезопасно использовать. Можно узнать почему?


Потому что глобальные переменные доступны для потенциального взломщика, а, если учесть, что у тебя в таких перемнных могут быть и пароли и логины и другие критические данные, то выбирай - то ли писать дополнительный код при register globals off, либо рисковать при меньшем коде, но при register globals on...

365
27 апреля 2005 года
MasterSID
230 / / 23.02.2003
Спасибо, а каким образом они доступны взломщику?
1.9K
27 апреля 2005 года
kasap
168 / / 07.04.2005
Цитата:
Originally posted by MasterSID
Спасибо, а каким образом они доступны взломщику?


Ищи тут:

http://phpclub.ru/talk/printthread.php?threadid=59145

http://s.sysforum.net/index.php?module=articles&c=articles&b=1&a=9

http://ipm.kstu.ru/internet/doc/php42/registerglobals.html

Может поможет...

365
27 апреля 2005 года
MasterSID
230 / / 23.02.2003
о, сенк. то, что надо
4
27 апреля 2005 года
mike
3.7K / / 01.10.2002
Основная опасность в них в том что их можно инициализировать из вне.

Кроме того, на некоторых серверах приортитет отдается переменным полученным POST методом, на некоторых GET, а на некоторых системных.

Вопрос, что будет в переменной DOCUMENT_ROOT если POST методом отправить DOCUMENT_ROOT=test и при этом-же GET методом отправить DOCUMENT_ROOT=notest ???
365
27 апреля 2005 года
MasterSID
230 / / 23.02.2003
Майк, а есть ли опасность в использовании переменной $_SERVER['HTTP_REFERER'] без проверки содержимого?
287
28 апреля 2005 года
Shiizoo
958 / / 14.03.2004
Проверять нужно все входящие данные какие юзер могёт ввести сам. Referrer обычно посылает браузер, а не юзер. Но хаксор или просто вредитель это уже не юзер, и цель их одна - нагадить на твоем ресурсе, а значит что-то где-то они будут пробивать у тебя тельнетом или еще какой консолькой, тузлой и т.п. Следовательно любой http-шный заголовок в запросе может быть с подманкой. Не интересовался никогда, какой веб-сервер как эти дела фильтрует, если фильтрует вообще, незнаю, но все-равно очень сомневаюсь.

По поводу глобалзов, эт конечно стремная штука. Хотя в любом случае globals юзабельно, если все используемые переменные предварительно инициализировать какими-нить стартовыми значениями или unset'ать и не юзать хостинги с абсурдными порядками инициализации супер-глобалов. Большинство дыр в свободных форумах, движках вообще и т.п. кстати начинаются именно с глобалзов;) Недавно глядел баг-лист phpbb и где-то на 2.x версии у них была пофикшена уязвимость, то ли инжект, то ли еще как, не важно. Минут 10 пристально глядел на каких-то 4 строки кода пытаясь найти где же там этот баг;) Все-таки лучше без глобалзов :D
Реклама на сайте | Обмен ссылками | Ссылки | Экспорт (RSS) | Контакты
Добавить статью | Добавить исходник | Добавить хостинг-провайдера | Добавить сайт в каталог