upload senza register_globals on

[tommyxxx]

Ciao.
E' un po' che mi domando se è possibile fare upload senza dover necessariamente mettere ad On il register_globals nel php.ini.
La domanda sorge dalle numerose discussioni in cui viene evidenziata la possibile vulnerabilità del sistema nel caso di register_globals= On.

Mi spiegate un po' di cose voi che ne sapete a pacchi?

grazie..

[tommyxxx]

up

[pgm]

mha

forse dico una cazzata ma l'upload si può fare anche con register_globals = off. basta passare tramite l'array globale $_FILES.

o no?

[tommyxxx]

mmm ... interessante, cercavo proprio una cosa di questo tipo solo che non so come si fa nello specifico...

[pgm]

ti rimando a questo thread che reputo abbastanza semplice anche se fatto con una classe ( piccola tra l'altro e a mio tempo, quando non sapevo quasi nulla, mi aveva aiutato molto)

http://forum.html.it/forum/showthrea...hreadid=764691

viene usato l'array $_FILES

[tommyxxx]

ma funzia con register_globals Off ???

[pgm]

Originariamente inviato da tommyxxx
ma funzia con register_globals Off ???

perchè non dovrebbe?

l'ho usato con la direttiva a off

[carloast82]

usato proprio l'altro giorno.
mi sono basato sull'articolo che ha postato pgm subito all'inizio del 3D che ti ha segnalato e non ho avuto nessun problema.

[pgm]

@tommyxxx

ma una cosa non mi è chiara. perchè pensi che gli upload si possano fare solo con register_globasl = on?

[tommyxxx]

mah.. perchè tutti gli script che ho trovato fino ad adesso avevano la pagina del form che spediva via post il file da uppare e la pagina che faceva l'up che non riceveva in alcun modo la variabile ma procedeva direttamente a uppare il file.
Ovviamente (se ho capito bene) uno script fatto in questo modo non funzionerà mai senza register_globals=On a meno che non venga ricevuta specificatamente la variabile "file".
La cosa che mi sfugge è come ricevere la variabile in questione dato che non riesco a farlo e fino ad adesso avevo optato per cambiare lo stato di register_global.