CGI Umgebung - Sicherheitslücke?

[bodo2005]

Ist es möglich die doch bei vielen Scripts sicherlich bestehende Sicherheitslücke zu schließen, dass per $_GET[] eine variable gesetzt wird... welche im Script vorher nicht deklariert wurde?

Bsw. index.php?login=1

<?php
if($login == 1)
print 'Eingeloggt!';
?>

Kann man diese "Schnellzugriffsvariablen" ausschalten, sodass nru noch per $_GET['login'] darauf zugegriffen werden kann?

 

[mh1001]

Hallo,

wenn "register_globals" in der PHP-Konfigurationsdatei auf "off" gesetzt ist sollte dieses Problem entfallen.
Dennoch sollte man immer darauf achten, dass alle Variablen korrekt initialisiert und deklariert werden, um gerade solchen "Sicherheitslücken" vorzubeugen.

MfG mh1001

 

[XunnD]

Genau, das klingt nach register_globals.

Wenn man dies aber nicht ausschalten kann, dann sollte man einfach die Variable mit 0 initialisieren um eine Art Improvisation zu schaffen - oder man benennt die Variable einfach um.

Ich selbst bin kein Freund von register_globals und deren Auswertungen - immer mit $_GET, $_POST, $_REQUEST, $_COOKIE, $_SERVER usw. arbeiten.

 

[bodo2005]

Ich selbst bin kein Freund von register_globals und deren Auswertungen - immer mit $_GET, $_POST, $_REQUEST, $_COOKIE, $_SERVER usw. arbeiten.

Ja ich auch nicht

Aber man muss dies bezgl. der Sicherheit ja bedenken... leider ist es ja auch so, dass es nicht nur um wirklich übersandte Variableninhalte handelt... dies ist ja das Problem... Gut danke, dann werde ich dies bedenken...