Jump to content
Sign in to follow this  
JD82

register_globals: sono da evitare?

Recommended Posts

Leggendo sul forum NGI del Virtuo ho letto che molti sconsigliano l'utilizzo delle register_globals.

Volevo domandare a voi (oltre ad averlo già fatto in PM a chi ha detto di non usarle sul forum NGI) come mai è sconsigliato l'utilizzo, anche su un VPS dove è hostato solo il mio sito...

 

Sono davvero così pericolose pure su un Virtual Private Server? E come mai?

Share this post


Link to post
Share on other sites

beh si anche se tu avessi un dedicato la situazione non cambia .....le register globals settate su on permettono il passaggio di valori GET che potrebbero bucare gli script....un esempio :

 

<?php

# "$ammesso = true" solo se l'utente si e' autenticato

if (autenticazione_user()) {

$ammesso = true;

}

if ($ammesso) {

include "paginasegreta.php";

}

?>

 

se avessi le register globals settate su ON sarebbe una cavolata bucare lo script, infatti se digito http://www.sito.boh/login.php?ammesso=true salterei di fatto l'autenticazione ! cosi rendo disponibile la variabile $ammesso mentre con settate a OFF avrei disponibile solo $_GET['ammesso'] ...spero di essermi spiegato :fagiano:

Per cui è fortemente sconsigliabile settarle su OFF, perchè uno si studia bene il tuo script e puo bucarlo molto facilmente :icon_wink:

 

A proposito da poco ho visto un messaggio di qualcuno che parlava di oscommerce, che usa le register globals su ON .... fortunatamente anche li hanno pubblicato una patch :approved:

Share this post


Link to post
Share on other sites

Eh, è vero che hanno pubblicato una patch, ma il mio sito fa ampio uso di contrib (delle "estensioni" di osCommerce), e non so se la patch sarà compatibile con tutte le contrib che ho installato.

 

Ora sto facendo un bel backup per provare ad installare la patch... spero in una bella botta di cu1o...

 

Grazie per l'info! Ti sei spiegato benissimo.

Share this post


Link to post
Share on other sites

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
Sign in to follow this  

×