Hjälp
Jag undrar över hur man ändrar värdet på register_globals och på safe_mode när det gäller PHP.
Fick en varning om detta när jag testa att installera ett cms-verktyg.
Ann
Sida 1 av 1
register_globals & safe_mode
#2
Pezzen 
- Moderator
-
- Grupp: Moderator
- Inlägg: 153
- Gick med: 30-januari 04
Postad 04 mars 2005 - 23:11
Båda dessa två "värden" är sånt som sätts på servern för alla kunder (om man inte har har system för individuella konfigurationsfiler.) och är sånt som inte borde vara på på en så pass öppen server som har så pass många olika kunder. De är avstängda just för säkerheten och jag tror nog Erik skulle kunna få ändra de, men jag tror inte de skulle vara så bra.
Ett dåligt råd egentligen, men försök att hitta något annat sätt att lösa det på, (om inte Erik tycker annat, vilken han mycket väl kan göra :P). En del har olika versioner beroende på hur safe_mode och liknande variabler är satta.
Ett dåligt råd egentligen, men försök att hitta något annat sätt att lösa det på, (om inte Erik tycker annat, vilken han mycket väl kan göra :P). En del har olika versioner beroende på hur safe_mode och liknande variabler är satta.
Regards
Stefan/Pezzen
Stefan/Pezzen
#3
Erik
- Administrator
-
- Grupp: Admin
- Inlägg: 7 585
- Gick med: 13-juli 03
Postad 05 mars 2005 - 00:28
Helt korrekt Stefan, dessa två värden är satta för servern, det vill säga alla kunder. Allt anpassas för att bibehålla hög säkerhet på servern & funktionellt, vilket de allra flesta föredrar.
Att ändra inställningarna för ett visst konto går ej via serverns konfig-filer. Så det bör lösas på något annat sätt.
Att ändra inställningarna för ett visst konto går ej via serverns konfig-filer. Så det bör lösas på något annat sätt.
::: Have great day! //Erik at psychofrog.se and Webbhotell ManuFrog :::
#5
vff
- Advanced Member
-
- Grupp: Members
- Inlägg: 11
- Gick med: 09-augusti 04
Postad 05 mars 2005 - 10:10
Tack för alla svar. Det är inte så lätt det här med PHP när man är nybörjare.
Men idag har jag lånat en E-bok om PHP via bibblan.
Erik, jag upptäckte att jag har olika värden på mina två olika konton hos er.
Så jag skickar ett mail till dig.
Hälsningar
Ann
Men idag har jag lånat en E-bok om PHP via bibblan.
Erik, jag upptäckte att jag har olika värden på mina två olika konton hos er.
Så jag skickar ett mail till dig.
Hälsningar
Ann
#6
Markus
- Superior Member
-
- Grupp: Members
- Inlägg: 20
- Gick med: 25-januari 05
Postad 08 mars 2005 - 21:08
Nu blir jag lite förvånad för phpinfo() säger ju att register_globals är satt till ON på det här webbhotellet. Det går dock att stänga av det om man vill höja säkerheten.
Register_globals kan ändras på två ställen. Den ena är i serverkonfigurationen (httpd.conf) och kan bara göras av den som administerar servern. Det gäller då för alla på webbhotellet som standard (Master Value) om inte det andra stället säger något annat.
Det andra stället är att göra en .htaccess-fil och där ange hur man vill ha det i den aktuella mappen.
Så om t ex webbhotellet har satt register_globals till ON så kan det stängas av med en .htaccess fil t ex i public_html:
Ett annat tips som också höjer säkerheten är att stänga av magic_quotes vilket också kan göras i samma .htaccess-fil.
Men vad jag förstod så ville Ann ändra till register_globals on men det ska ju inte behövas eftersom den redan är on och safe_mode är ju inte heller aktiviterat (!) så det bör ju inte vara något problem.
Safe_mode kan dock inte aktiveras av enskilda på webbhotellet som vill ha det säkrare, tyvärr.
Register_globals kan ändras på två ställen. Den ena är i serverkonfigurationen (httpd.conf) och kan bara göras av den som administerar servern. Det gäller då för alla på webbhotellet som standard (Master Value) om inte det andra stället säger något annat.
Det andra stället är att göra en .htaccess-fil och där ange hur man vill ha det i den aktuella mappen.
Så om t ex webbhotellet har satt register_globals till ON så kan det stängas av med en .htaccess fil t ex i public_html:
php_flag register_globals off
Ett annat tips som också höjer säkerheten är att stänga av magic_quotes vilket också kan göras i samma .htaccess-fil.
php_value magic_quotes_gpc 0
Men vad jag förstod så ville Ann ändra till register_globals on men det ska ju inte behövas eftersom den redan är on och safe_mode är ju inte heller aktiviterat (!) så det bör ju inte vara något problem.
Safe_mode kan dock inte aktiveras av enskilda på webbhotellet som vill ha det säkrare, tyvärr.
#7
Erik
- Administrator
-
- Grupp: Admin
- Inlägg: 7 585
- Gick med: 13-juli 03
Postad 08 mars 2005 - 22:00
Ja det stämmer att safe_mode är OFF och register_globals är ON. Det finns väldigt många script som inte fungerar utan att ha detta inställt på ON, och php_safe mode fungerar inte till de flesta PHP mjukvaror.
Om någon vill ställa in andra värden för sina egna konton kan man använda en .htaccess fil för att kontrollera de flesta php variablerna med hjälp av denna syntax:
De flesta skäl till att webbhotell valt att köra safe_mode ON är att användare kunde köra ett 'php shell' script, komma åt /tmp, och köra sina filer. Numera bör alla webbhotell ha en separat partition för /tmp, installerad som noexec,nosuid,nouser,nodev.
Detta gör det säkert även om någon "elaking" skickar upp deras shell, laddas sina filer, och försöker köra dom, vad man än har valt för CHMOD inställning, kommer de inte kunna köra det.
Exakt vilka säkerhetssytem förutom brandvägg, som vi har installerat på servern, avslöjar jag av naturliga skäl inte här.
Men en del nya apache moduler används bla.
Om någon vill ställa in andra värden för sina egna konton kan man använda en .htaccess fil för att kontrollera de flesta php variablerna med hjälp av denna syntax:
php_value variabel_namn värde php.net/ini_set
De flesta skäl till att webbhotell valt att köra safe_mode ON är att användare kunde köra ett 'php shell' script, komma åt /tmp, och köra sina filer. Numera bör alla webbhotell ha en separat partition för /tmp, installerad som noexec,nosuid,nouser,nodev.
Detta gör det säkert även om någon "elaking" skickar upp deras shell, laddas sina filer, och försöker köra dom, vad man än har valt för CHMOD inställning, kommer de inte kunna köra det.
Exakt vilka säkerhetssytem förutom brandvägg, som vi har installerat på servern, avslöjar jag av naturliga skäl inte här.
Men en del nya apache moduler används bla.
::: Have great day! //Erik at psychofrog.se and Webbhotell ManuFrog :::
#8
vff
- Advanced Member
-
- Grupp: Members
- Inlägg: 11
- Gick med: 09-augusti 04
Postad 08 mars 2005 - 22:44
Jag fick en varning om att register_globals var satt i läge On och att detta var en säkerhetsrisk.
Då blev jag lite rädd. Man vill ju inte råka ut för något. Sedan blev ju inte förvirringen mindre
då jag hade olika värden på mina två webbhotellspaket här på ManuFrog. Jag tror att jag ska
testa och se om jag kan ändra värdet så som Markus beskriver. Så får vi se vad som händer.
En fråga till bara: Vad är magic_quotes för något?
Som sagt är det här med PHP nytt för mig. Men det är spännande värld. Jag har blivit helsåld på ett
cms-verktyg gjord i PHP. Men det känns ju liksom bra att lära sig mer om PHP så man begriper
vad som händer och ev. kan göra lite ändringar. Dessutom är jag nyfiken på det här med att ha
en databas och kunna dra ut data ur denna via PHP. Men det tar nog lite tid innan jag är där...
Hälsningar
@nn
Då blev jag lite rädd. Man vill ju inte råka ut för något. Sedan blev ju inte förvirringen mindre
då jag hade olika värden på mina två webbhotellspaket här på ManuFrog. Jag tror att jag ska
testa och se om jag kan ändra värdet så som Markus beskriver. Så får vi se vad som händer.
En fråga till bara: Vad är magic_quotes för något?
Som sagt är det här med PHP nytt för mig. Men det är spännande värld. Jag har blivit helsåld på ett
cms-verktyg gjord i PHP. Men det känns ju liksom bra att lära sig mer om PHP så man begriper
vad som händer och ev. kan göra lite ändringar. Dessutom är jag nyfiken på det här med att ha
en databas och kunna dra ut data ur denna via PHP. Men det tar nog lite tid innan jag är där...
Hälsningar
@nn
#9
Pezzen
- Moderator
-
- Grupp: Moderator
- Inlägg: 153
- Gick med: 30-januari 04
Postad 08 mars 2005 - 23:18
vff/@ann:
PHP är mycket spännade och väldigt kraftfullt, och när man väl börjat fatta det gundläggande är det ganska enkelt och kul att exprimentera med om man har lite tid. Vad gäller vad register_globals gör kan du läsa mer på php.net där man hittar all information man kan tänkas behöva om PHP.
Kort, enkelt och dåligt sagt är att med den satt till on så kan man sätta in variablar i dokument och på så sätt komma in på sidor eller göra saker man inte ska kunna göra. De står lite mer men lite krångligare förklarat på läken ovan.
Magic Quotes kör addslashes på massa Superglobals (som $_POST, $_GET osv). de betyder att den lägger till \ före saker som kan sabba annars. bra vid databashantering men bara en latmakt använder det för vanliga variablar.
Erik: Varför körs register_globals on överhuvudtaget? Det kanske inte du vet iofs, men de är ju mer eller mindre de facto standars att köra det off.
Och, för att kunna sådana variabler i en .htaccess så krävs det ju att man har vart ganska frikostig i sin AllowOverrride i httpd.conf, något jag inte är så säker man är eller ens ska vara
PHP är mycket spännade och väldigt kraftfullt, och när man väl börjat fatta det gundläggande är det ganska enkelt och kul att exprimentera med om man har lite tid. Vad gäller vad register_globals gör kan du läsa mer på php.net där man hittar all information man kan tänkas behöva om PHP.
Kort, enkelt och dåligt sagt är att med den satt till on så kan man sätta in variablar i dokument och på så sätt komma in på sidor eller göra saker man inte ska kunna göra. De står lite mer men lite krångligare förklarat på läken ovan.
Magic Quotes kör addslashes på massa Superglobals (som $_POST, $_GET osv). de betyder att den lägger till \ före saker som kan sabba annars. bra vid databashantering men bara en latmakt använder det för vanliga variablar.
Erik: Varför körs register_globals on överhuvudtaget? Det kanske inte du vet iofs, men de är ju mer eller mindre de facto standars att köra det off.
Och, för att kunna sådana variabler i en .htaccess så krävs det ju att man har vart ganska frikostig i sin AllowOverrride i httpd.conf, något jag inte är så säker man är eller ens ska vara
Regards
Stefan/Pezzen
Stefan/Pezzen
#10
Erik
- Administrator
-
- Grupp: Admin
- Inlägg: 7 585
- Gick med: 13-juli 03
Postad 08 mars 2005 - 23:33
Citat
Erik: Varför körs register_globals on överhuvudtaget? Det kanske inte du vet iofs, men de är ju mer eller mindre de facto standars att köra det off.
För att många script inte fungerar annars. Och tills kodarna lärt sig att vad register_globals gör är att göra om de associativa arrayernas index till variabler, t.ex. $_POST['variabel'] (från formulär) kopieras till $variabel.
Är inte register_globals satt så sker inte denna kopiering, och det finns ingen variabel $variabel.
(Kan nämna att alla surpasshosting's servrar kör med "register_globals on" också.)
Men, jag är ingen "Php Guru" så jag ska inte säga för mycket. Teknikerna som tar hand om våra servrar har garanterat att det inte är någon fara med dessa inställningar, så jag litar på deras ord, eftersom jag fått lite mer info kring vilka säkerhetsåtgärder som för övrigt är gjorda.
::: Have great day! //Erik at psychofrog.se and Webbhotell ManuFrog :::
#11
Pezzen
- Moderator
-
- Grupp: Moderator
- Inlägg: 153
- Gick med: 30-januari 04
Postad 08 mars 2005 - 23:56
Nej, jag är medveton det, men i PHP 4.1.0 så ändrades default på register_globals från on till off PHP 4.1.0. släpptes 29 Augusti 2000. De har altså haft 4½ år på sig att ändra det i sina script.
Faran är att man kan sätta in vilka variablar som helst i dålig kod. Men det är väl inget som vi (Jag dvs) borde disskutera här, mest nyfiken bara.
Tack för svaret Erik
Faran är att man kan sätta in vilka variablar som helst i dålig kod. Men det är väl inget som vi (Jag dvs) borde disskutera här, mest nyfiken bara.
Tack för svaret Erik
Regards
Stefan/Pezzen
Stefan/Pezzen
#12 Guest_Patrik_*
Postad 07 april 2005 - 10:42
Erik på 9 Mar 2005, 00:33 sade:
Citat
Erik: Varför körs register_globals on överhuvudtaget? Det kanske inte du vet iofs, men de är ju mer eller mindre de facto standars att köra det off.
För att många script inte fungerar annars. Och tills kodarna lärt sig att vad register_globals gör är att göra om de associativa arrayernas index till variabler, t.ex. $_POST['variabel'] (från formulär) kopieras till $variabel.
Är inte register_globals satt så sker inte denna kopiering, och det finns ingen variabel $variabel.
(Kan nämna att alla surpasshosting's servrar kör med "register_globals on" också.)
Men, jag är ingen "Php Guru" så jag ska inte säga för mycket. Teknikerna som tar hand om våra servrar har garanterat att det inte är någon fara med dessa inställningar, så jag litar på deras ord, eftersom jag fått lite mer info kring vilka säkerhetsåtgärder som för övrigt är gjorda.
Själv har jag under en längre tid alltid kört med $_POST/GET['variabel'] för att hämta alla postade värden.
Men detta är nog mest för att jag ofta testar mina PHP sidor på min privata server som är ordentligt igenpluggad
på alla möjliga håll och kanter då jag är paranoid
Trodde faktiskt detta var det dom flesta gör men så verkar inte vara fallet (tittade igenom lite script och såg att vissa missar detta).
Jag har med andra ord säkrat min egen PHP kod om jag skulle skaffa ett hotell med register_globals off
Dela med dig av detta ämne:
Sida 1 av 1