ma, register_globals?

[jungle]

scusate, ma se register_globals è abilitata e quindi le variabili di sessione sono promosse a variabili globali, io posso richiamare la variabile impostata nella pagina A come $_SESSION['var'], semplicemente come $var nella pagina B?
tnks

[13manuel84]

sì

stesso discorso per $_GET $_POST e compagnia bella

[jungle]

bella m***a!!
non è un problema in termini di sicurezza?
tnks

[13manuel84]

appunto per questo le register_globals di default sono a Off se poi qualcuno se le mette a On 'zzi suoi

[jungle]

Altervista... anche se non so come averne la certezza. Non riesco a trovare nell'output di phpinfo(); se register_globals è settato o no.
Cmq è evidente da prove sperimentali!
Ciao

[13manuel84]

nel phpinfo() trovi proprio la voce register_globals fai un trova nella pagina.
Comunque se hai fatto delle prove direi che ne hai proprio la certezza.

se ti può interessare, l'ho preso da un sito:

register_globals settato a OFF si utilizza per migliorare la sicurezza con PHP, per scongiurare che un malintenzionato inserisca delle variabili fittizie o con valori falsati, che potrebbero modificare il risultato delle pagine, e nei casi peggiori modificare anche un valore dentro ad un database (dipende dalla funzione dello script).

Con gli array globali scongiuriamo che questo avvenga, o almeno aiutiamo lo script nella protezione.
Per aumentare ancora la protezione dello script suggeriamo di non spedire i valori da manipolare, ma delle variabili di controllo.

comunque, qualsiasi sia il settaggio del phpinfo conviene SEMPRE fare un controllo LATO-SERVER sulle variabili che si ricevono, POST, GET o altro che siano.
E' importante che il controllo sia lato-server! diffida sempre dei controlli lato-client, come ad esempio in js, perché un js è relativamente "semplice" by-passarlo.