Jautājums par php.ini

[razery]

Labdien. Man ir viena problēma un man lika uzreiz vērsties uz šo forumu... ceru, ka kāds palīdzēs.

Es taisu AMXBANS savam Counter-strike serverim - tas tik ļoti nav svarīgs.

Vienā vietā taisot man parādījās problēma... izmeta erroru:

 

Функция Magicquotes выставлена в 'OFF' в php.ini. AMXBans не будет функционировать пока magicquotes не будет выставлена в 'ON'.

 

Kur tieši man jādodas lai tos Magicquotes ieslēgtu? Un kā?

Edited December 12, 2007 by razery

[andrisp]

Tajā paziņojumā taču skaidri un gaiši uzrakstīts (tiesa gan - krieviski).

 

Vispār jau magic_quotes skaitās drauds drošībai, bet nu ja ļoti vajag to AMXBANS, tad tās var ieslēgt php konfigurācijā (php.ini) fails. Ja nezini, kur tas ir, tad izpildi phpinfo() funkciju. Tur varēs redzēt. Pēc izmaiņu veikšanas, jāpārstartē webserveris.

[razery]

ja tas būtu tik vienkārši, es te nebūtu griezies.

Kur man īsti jādodas? Kur atrodas tas php.ini fails? Kā lai ieslēdz?

Es atvainojos, ja krītu uz nerviem, bet agrāk ar neko tādu neesmu saskāries un nekur citur man nevar palīdzēt...

Ja nav grūti, lūdzu pastāstiet sīkāk kas un kā.

[martins256]

php mapē...

piemēram: C:\wamp\bin\php\php5.2.5\php.ini

 

Ja nevari atrast, tad paņem start > search > files and folders > meklē to php.ini

[andrisp]

razery, es taču teicu - izpildi phpinfo() funkciju un tur tu varēsi izlasīt, kur tas atrodas.

[razery]

atradu vienu PHP.ini @ C:\Program Files\easyphp\apache

 

atradu šādu vietu:

; - magic_quotes_gpc = on [Performance]

; Input data is no longer escaped with slashes so that it can be sent into

; SQL databases without further manipulation. Instead, you should use the

; function addslashes() on each input element you wish to send to a database.

 

samainīju uz "on" restartēju appache & mysql (izslēdzu & ieslēdzu)

Bet tik un tā rādās tas errors.

Kāds nezin, kur varētu būt problēma?

[andrisp]

Tu nomainīji iekš komentāra drošivien. Meklē tālā, kur būtu tas pats, bet bez ; priekšā.

[razery]

liels paldies andrisp. aizgāja.

bet tu man nobiedēji ar to komentu, ka tas ir draugs drošībai.

ja es to ieslēgšu nekas slikts nenotiks ar webu? Kādas var būt sekas?

[MārisL]

:D nekādas

[andrisp]

Saputrojos, tālākais attiecas uz register_globals:

 

magic_quotes register_globals nozīmē, ka visi ienākošie dati (POST, GET, COOKIE) pa taisno tiek pārvērsti par mainīgajiem. Piemēram, $_GET['id'] uzreiz būz $id.

 

Lūk kur piemērs, kas demontrē, kādās situācijās tas ir bīstami:

 

if (user_is_authorized()) {
 $authorized = true;
}

if ($authorized == true) {
 //raadam slepenos datus
}

 

Ja magic_quotes register_globals būs On un es izaukšu šo skriptu padodot authorized=1 caur URL, tad tikšu klāt taviem slepenajiem datiem.

Edited December 12, 2007 by andrisp

[bubu]

andrisp: nesajuaci ar register_globals?

[andrisp]

Mļin... tiešām..

 

magic_quotes (kaut gan tās lietot nav labais stils) drošības problēmas neizraisa, bet tieši otrādi. Eskeipo visus ienākošos datus, lai varētu droši ievietot DB. Teorētiski viņas ir nedrošākas par mysql_real_escape_string(), jo eskeipo tikai pēdiņas nevis visus simbolus ar kuriem teorētiski varētu panākt sql injekcijas.

[Kavacky]

Nu man tieši tas liekas kretīniski, ka visi dati tiek sajāti un pēc tam speciāli ir jātīra, ja grib kaut kā manipulēt, nevis uzreiz likt DB. Un tad tas tiek pašā sākumā visos superglobāļu masīvos izdarīts un nosacītā drošība tu tū. =D