register globas on

1. Серега (17.05.2009 / 12:01)
Почему скрипт уязвим если в нем включены глобальные переменные? што именно хакер сможет сделать?

2. DmitryDick (17.05.2009 / 12:06)
Взломать)

3. Серега (17.05.2009 / 12:21)
Каким образом?

4. Neformat (17.05.2009 / 12:56)
Не уязвим. Уязвимость в их небезопсном применении.

5. Серега (17.05.2009 / 13:10)
все наверно видели скрипт форум сасисы, я его модифицирую его, а вот защитой у меня туговато. Форум работает на
register globar on есть ли в этом скрипте дыры? Если есть тогда где?

6. Серега (17.05.2009 / 13:11)
Насчет пароля что он не зашифрован в мд5 заметил.

7. Arab (17.05.2009 / 13:18)
вместо if(isset($go)){ пиши if(isset($_GET['go'])){ и все

8. Серега (17.05.2009 / 15:22)
Араб спасиб.

9. Михаил (17.05.2009 / 15:28)
register_globals само по себе не опасно. Опасно, когда его неправильно используешь

10. Arab (17.05.2009 / 15:31)
9, ага. и человек без ошибок не может.
чем больше скрипт тем больше ошибок

11. Удаленный (17.05.2009 / 19:55)
переменную можно объявить через адресну строку. Т.е. $del,$_POST['del'],$_GET['del'] - одна и тажа переменная.

12. Удаленный (17.05.2009 / 19:56)
9. нет

13. Михаил (17.05.2009 / 20:02)
#12, что нет?

14. Удаленный (17.05.2009 / 20:06)
ничё Sorry

15. Серега (18.05.2009 / 14:52)
11 Если я правильно соображаю, то $_POST и $_GET есть различие

16. Артём (18.05.2009 / 15:03)
15,$_GET это ссылка вида ?id=1&SID=KlMjdkoPmc а $_POST это то что передаёться через форму

17. DmitryDick (18.05.2009 / 15:04)
Когда в адресной строке набираешь адрес site.ru/page.php?var=value
Или переходишь по ссылке <a href="site.ru/page.php?var=value">link</a>
Это гет.
Когда в форме указываешь method=post это пост)

18. DmitryDick (18.05.2009 / 15:05)
Sorry, коряво объяснил, мб)

19. Удаленный (18.05.2009 / 16:55)
15. Дак они ращличные при регистер глобалс ОФФ. Тема о чём?

20. Удаленный (18.05.2009 / 18:06)
Есть такие скриптыregistr

21. Удаленный (18.05.2009 / 18:07)
Есть такие скрипты которые требуют включенный registr

22. Сергей (18.05.2009 / 20:51)
21. ты спрашиваешь или утверждаешь?

23. Сергей (18.05.2009 / 22:45)
ппц... кодеры здесь больше не водятся, даже интереса нет заходить сюда (

24. Артём (19.05.2009 / 01:53)
ЗАПОМНИТЕ!!! никогда не ставьте скрипты требующие register_globals on это дыра в безопасносте сайта и такой сайт можно снести за сек.Т.к через любую переменную можно передать любой запрос например на получения пароля из базы и т.п,да и в PHP 6 не будет такой директивы.

25. Удаленный (19.05.2009 / 10:39)
24 это я и пытался им объяснить

26. Удаленный (19.05.2009 / 10:40)
23 а ты с самого рождения знал php чтоли?

27. Сергей (20.05.2009 / 22:15)
26, по крайней мере, я таких глупостей не говорил )

28. Александр (20.05.2009 / 22:49)
Для быдло кодеров register_globals on не страшен. Попробуй угадай как они назвал переменную

29. Neformat (20.05.2009 / 23:59)
#24 А если они OFF, то хошь сказать склиньекция не прокатит?)
Ну пропишешь ты жестко, что данные приходят через POST и выключишь register_globals и? Я тебе склиньекцию POSTом что ли ни не отправлю?
<br />
<br />
Запомните господа, дырки не в директиве register_globals, а в голове.

30. Удаленный (21.05.2009 / 05:57)
24,Ваш положительный голос за пользователя Troy успешно оставлен!
В данный момент его авторитет: 33
Всего положительных голосов: 52
Всего отрицательных голосов: 19

31. Удаленный (21.05.2009 / 05:58)
так вот как в чате у меня воровали пароль

32. Удаленный (21.05.2009 / 05:59)
29#У меня из за этого register_globals on только флаг прописпн был,воровали пароль

33. Удаленный (21.05.2009 / 06:01)
у меня php_flag register_globals on было прописано

34. Titov (21.05.2009 / 09:02)
Скрипты в регист глобалс офф начали писать токо последнее время раньше писали в он и что все дырявое что ли 30 хеш в мд5 нада хранить чтоб даже если украдут то не использовали

35. Удаленный (21.05.2009 / 09:26)
34,ну не знаю регистр убрал и теперь не каких воров и.т.д нету

36. Михаил (21.05.2009 / 11:33)
register_globals само по себе не дыра, оно только помогает создавать дыры

37. Санёк (21.05.2009 / 12:59)
Я воще с ним никогда не писал..ток в грабах иногда, а ща и в грабах с офф пишу.

38. Удаленный (21.05.2009 / 13:41)
Вообще мне кажется в грабах только в хтачесс надо писать этот регистр.

39. Neformat (12.06.2009 / 10:12)
Мда господа, пост #4 кто нибудь понял?

40. Удаленный (12.06.2009 / 10:57)
Блин, я чайник гг. А как перемодифицировать с регистром он в офф ? Ссыльи менять ?

41. Arab (12.06.2009 / 12:16)
39, понял )
40, читай 7й пост

42. Удаленный (12.06.2009 / 12:41)
Пост 7. Эт нада так во всех файлах где есть эта переменная ?

43. Удаленный (12.06.2009 / 12:54)
Мой чат ломали тысячу раз пока я не отключил регистр.

44. Удаленный (12.06.2009 / 13:59)
упс,попутал уже писал насчет чата .

45. Arab (12.06.2009 / 14:22)
ни везде где ЭТА переменная а везде где переменные с isset
но это не все что надо изменить, это основное. лучше скрипт по новой писать

46. Удаленный (12.06.2009 / 18:05)
метод GET добавлять надо

47. Удаленный (13.06.2009 / 11:41)
Да штовы паритесь я пишу на рег глобалс он и не собираюсь с него линять намного проще писать. Надо проста проверять каждую глобальную переменную штоб через нее не прошли ниекие символы которые используются для инекцыи. Например вам надо в $_GET['pages'] Только цыфры проверяйте штоб там проходили только цыфры.

48. Arab (13.06.2009 / 15:07)
47, когда то думал так же

49. Neformat (13.06.2009 / 16:30)
Вообще то глобалс офф не отменяет проверки данных на валидность

50. Удаленный (14.06.2009 / 15:44)
48) Если крекер захочет ломонуть твои программы его не остановит отключеная глоб. рег. И воще трата времени на защиту ето в пустую. Если взлом твоего сайта даст креку славу то хоть как не защищайся все будет напрасно. :-D

51. Удаленный (30.06.2009 / 22:12)
#50 вот пример. -> На офф не надо проверять переменные содержащие данные из бд или файла не пришедшие от пользователя. Теперь на он. -> не безызвестная дырка в библе мотора.(не у всех закрыта до сих пор так что указывать не буду) Подмена переменной. Если бы регистр глобалс был выключен этой дыры ни когда бы не было. Так что можешь и дальше не париться и писать на включенном особенно здорово будет если в пхп6 действительно уберут регистр глобалс он.

52. Алекс (30.06.2009 / 22:26)
50,Ой да ладно таких кто может практически всё единицы.
И кто б не хотел взломать ту же сизу или фанк?!

53. Lugaro (30.06.2009 / 23:25)
47 судя по твоим вопросам в разделе php-mysql знаеш ты не очень много и сто процентов пишеш каряво так что не надо тут нам расказивать как реглобал юзать и переменные фильтровать ы, в 6 версии его не будет скорей всего

54. Удаленный (30.06.2009 / 23:44)
53. Ты прав начал юзать базу а также разширять знания php-mysql начал понимать. Што был не прав.

55. Удаленный (30.06.2009 / 23:46)
52. А нащет фанка когдато на какомто хак сайте выкладали дыру.

56. Удаленный (30.06.2009 / 23:49)
55 выключенный регистр глобалс это не гарантия безопасности сайта это просто защита от невнимательных кодеров

57. Studentsov (01.07.2009 / 13:51)
Ну хоть палевно будет если регистер отключен

58. Не известно (21.08.2009 / 00:56)
чё там ваша sizа *
Посмеялись и хватит: беспрецедентная атака на цитатник рунета*
почитайте мальчики для счастья http://www.xakep.ru/post/44911/default.asp

59. AlkatraZ (21.08.2009 / 12:22)
Превед уважаемые.
Вот почитал я, гляжу. какие-то обреченно-панические настроения, однако не все так плохо, если кодер ПРАВИЛЬНО пишет.
---
Я щас напишу соображения, но давайте договоримся. что мы рассматриваем ДЫРЫ СКРИПТОВ, а не дыры самого хостинга. Тут уж кодер практически ничего не может поделать.

60. AlkatraZ (21.08.2009 / 12:25)
Насчет globals_on
---
Если скрипт написан ПРАВИЛЬНО, то есть, все переменные проинициализированы (я не говорю про фильтрацию. это другое), то globals_on не представляет никакой угрозы. Но обычно, в реальных скриптах, далеко не все переменные инициализированы должным образом, тут и кроется основная опасность, ибо через глобальную переменную можно передать какой-нибудь опасный параметр в ЛЮБУЮ неинициализированную переменную.
Чтоб избежать этого, потому, даже в 5.х версии РНР globals по умолчанию выключен.

61. AlkatraZ (21.08.2009 / 12:26)
Да и к тому же, писать, используя глобальные переменные НАМНОГО удобнее, сразу видно, где данные приходят от юзера. а где внутренние переменные.

62. Сергей (21.08.2009 / 13:03)
63, согласен

URL: https://visavi.net/topics/646