Citat:
Originally posted by AlternativePhotography@Apr 29 2004, 01:20
Funkar alldeles utmärkt! Tackar ödmjukast! :lol:
Vad menar du förresten med sårbar för hackers? Skulle det bli bättre om jag ber min server-master sätta på 'register_global'?
Malin
|
Register_globals ska var OFF, register_globals ska vara OFF, se så, upprepa 1000 ggr.
Register_globals är ett otyg som gör ditt jobb till ett helvete om du ska använda dig av authenticering och sessionshantering pga. säkerhetsrisker.
Exempel: Om jag, för att markera att en användare är inloggad sätter $_SESSION['loggedin'] = "true"; med register_globals off, så kan inte "surfaren" komma åt den variabeln för att sätta den och gå förbi authenticeringen.
Använder jag register_globals och inte använder $_SESSION[''], och varje $_POST['foo'] eller $_GET['foo'] blir istället $foo automatiskt, så kan användaren göra helt enkelt
http://www.example.com/mittscript.php?loggedin=true för att sätta min autenticeringsvariabel.
Så ditt webbhotell gör rätt. Personligen skulle jag ALDRIG anlita någon med register_globals on.
Du begår ett annat misstag. Din input från användaren kontrolleras inte alls. Det är en ajabaja nr 2. Aldrig aldrig ska få en användare mata in något i ditt skript utan att du har dubbelkollat ifall det är godkänt att använda det.
/Zoran