Grey_Wolf Posted July 25, 2006 Report Posted July 25, 2006 Varbuut kaads zin/ ir lasijis Labu un pamatotu rakstu/s par temu kaadeelj Globals ON ir secyriti caurums (zinu ka google var atrast pa pilnam tik nav laika visus parlasiit un atrast optimaalo :( ) Vajag lai shefam/bossam var iedot izlasiit, velams saprotamaa valodaa ar piemeeriem... (vinsh Nav programmeetaajs, specefiku nesapratiis :( ) Valodas Eng / RU ...
Klez Posted July 25, 2006 Report Posted July 25, 2006 uztaisi pats vinjam paraugu ... :) http://www.computing.net/webdevel/wwwboard/forum/1156.html http://www.zend.com/zend/art/art-sweat4.php http://forums.devarticles.com/php-developm...works-4391.html
Grey_Wolf Posted July 25, 2006 Author Report Posted July 25, 2006 (edited) uztaisi pats vinjam paraugu ... :) Ta paraugs ir taa... Domaats bija tieshi raksti KAAPEC tas ir secyr. caurums, nevis kas tias par zveeru ;) Edited July 25, 2006 by Grey_Wolf
v3rb0 Posted July 25, 2006 Report Posted July 25, 2006 linkus nelasīju, bet gan jau tur rakstīts ir ka tapec ka ļaunais urķis var sadefinēt mainīgos kādus vajag. piemēram scriptā ir ierakstīts if($login){/*rādi admin paneli*/}, bet ļaunais urķis raksta lapa.lv/login=1 globals on it kā nav caurums, ja vienmēr atceries ka visi mainīgie ir iepriekš jādefinē, bet tāds vidējais iesācējs negrib visus mainīgos sadefinēt(tepat forumā cik topici par undefined variable/index). kad vairs neesi galīgais iesācējs, tad nav vairs grūti uzrakstīt $var = isset($_GET['var'])?$_GET['var']:false; un globals on īsti nav vajadzīgs.
Grey_Wolf Posted July 25, 2006 Author Report Posted July 25, 2006 (edited) linkus nelasīju, bet gan jau tur rakstīts ir ka tapec ka ļaunais urķis var sadefinēt mainīgos kādus vajag. Nekas iipash tur rakstiits nebija, vismaz Ne programmetaajam saprotamaa valodaa ... Tieshi par to ka kods (japarlabo jau uzrakstiits skripts Lielai sisteemai) ir uzrakstiits galiigi skjeersaam (mainiigie NAV defineeti utt.) ir shis skumjais staasts.... P.S. kodu pats rakstijis nesmu (kods vecss 2002 gada...) Edit: pats vienmeer rakstu ar GLOBALS=OFF un tikai :) Edited July 25, 2006 by Grey_Wolf
Klez Posted July 25, 2006 Report Posted July 25, 2006 es vienmeer rakstu if ($_POST['xx'] == ...) {...} vai if (foo()){ ...} function foo(){ $_POST['bar'] ... } man liekas ka shitaa register_globals var buut ON un nebuus insecure ... varbuut kljuudos :)
blackhalt Posted July 25, 2006 Report Posted July 25, 2006 Especially with the fact that most php installs have register globals turned off and that there are plans to totally remove register globals from php6 http://walshdev.com/register_globals.html This coupled with the fact that PHP doesn't require variable initialization means writing insecure code is that much easier. http://lv.php.net/manual/en/security.globals.php Best Practices The best way to avoid it is to make sure that register_globals is set to Off in your php.ini. http://en.wikibooks.org/wiki/Programming:P...egister_Globals Tieshi par to ka kods (japarlabo jau uzrakstiits skripts Lielai sisteemai) ir uzrakstiits galiigi skjeersaam (mainiigie NAV defineeti utt.) ir shis skumjais staasts.... Var jau nodemonstrēt kā tā ON sistēma visa tiek nonesta līdz nullei :D
Grey_Wolf Posted July 26, 2006 Author Report Posted July 26, 2006 Var jau nodemonstrēt kā tā ON sistēma visa tiek nonesta līdz nullei :D Man arii ienaaca saada doma galvaa ;) tik skjiet ka nesapratiis....... :) Paldies visiem kas megjinaaja paliidzaeet ;) Tik luugums Izlasiit jaut liidz galam ;) Zinu kas ir GLOBALS ON/OFF , Jautaajums bija peec rakstiem kas izskaidro Kadeelj tos nevajag ...... (pats tad zinu)
e-remit Posted July 26, 2006 Report Posted July 26, 2006 Zinu kas ir GLOBALS ON/OFF , Jautaajums bija peec rakstiem kas izskaidro Kadeelj tos nevajag ......(pats tad zinu) Nav gluži raksts, bet doma, ko pateikt pasūtītājam. Ar "ON" uzturēt ir sarežģītāk, līdz ar to dārgāk izmaksā. Piemēram uzliec koeficientu, ka pārbaudīt visus mainīgos, dēļ ON izmaksas jāreizina ar 1.3.
Roze Posted July 26, 2006 Report Posted July 26, 2006 Jautājums tāds jocīgs "Vajag lai shefam/bossam var iedot izlasiit, velams saprotamaa valodaa ar piemeeriem... (vinsh Nav programmeetaajs, specefiku nesapratiis :( " Šeit viss ir specifisks.. bet tā jau pietiek manuprāt pateikt, ka php6 versijā šāda opcija vairs nebūs vispār un ja gribas lai kods strādā arī tad vienkārši nevar izmantot.. No otras puses ja tu izmanto superglobals tad idejiski ir pofig vai ir ON vai nav vienīgi zināma papildus servera slodze..
Recommended Posts