Die Einstellung Register_Globals = On/Off ist eine PHP-Einstellung auf dem Webserver und wird in der php.ini festgelegt. Die Einstellung wird vom Webhoster festgelegt bzw. vorgegeben; d.h. kann man sie selbst auf dem Webserver nicht ändern.
Einfach gesagt ist Register_Globals eine Sicherheitseinstellung bei der es darum geht wie PHP mit den Variablen umgeht, bzw. wie diese übergeben werden.
Ist die Einstellung Register_Globals = ON stellt dies eine Sicherheitslücke und Gefahrenquelle dar. Daher sollte Register_Globals auf OFF stehen.
Die Einstellung Register_Globals stellt globale Variablen unter ihrem Namen zur Verfügung.
Ein Beispiel: Ein Formular enthält das Feld "name"; mit Register_Globals = ON kann im Empfängerscript ohne weitere Deklaration per $name auf den Wert dieses Feldes zurückgegriffen werden.
Ein Angreifer könnte die URL des Empfängerscriptes so verändern, dass der eigentliche Wert von $name mit dem Code überschrieben wird.
Wenn keine Prüfung des Inhaltes vom Programmierer erfolgt, wird dieser dann ausgeführt und kann beträchtlichen Schaden am System anrichten.
Montag 16 Juni, 2008