Pagina 2 di 2 primaprima 1 2
Visualizzazione dei risultati da 11 a 13 su 13
  1. #11
    Per sapere quali sono i problemi cui vai incontro, ti basta dare un'occhiata proprio in questo sito.

    C'è una guida molto interessante: Guida sicurezza di PHP.
    Ti spiega le varie modalità (o meglio, le più semplici da eseguire) di hacking, e controllare il modo in cui vengono propagate e richiamate le variabili in uno script è proprio l'abc dell'hacker.... nonché del programmatore php.

    Visto che sembri non saperlo, la direttiva register_globals sta nel php.ini, ma devi avere accesso diretto alla macchina per fare questa modifica.
    Un mio consiglio: se in quel sito c'è un minimo di interazione utente/sito (quindi una form) ogni malintenzionato riuscirà col minimo sforzo ad inoculare codice malevolo, fare incetta di informazioni presenti in un db o altre nefandezze del genere.
    Se il sito presenta poi un'area di commercio elettronico, o comunque un DB con dati più o meno sensibili, beh... ti rendi conto da te che con uno script mal confezionato, potresti far passare dei brutti 5 minuti al tuo cliente.

    Vedi, io forse ne faccio una questione di "deontologia"..... ma secondo me dovresti fare del tuo meglio per evitare quantomeno gli attacchi hacker meno sofisticati!
    A prescindere che tu abbia tempo o no per fare le dovute modifiche, visto che parli di cliente suppongo che tu venga pagato per quel lavoro. Credo che un minimo di attenzione a certi dettagli, dovresti mettercela.

    Ad ogni modo, questa è la solo mia opinione personale!

    <ALCIO />
    Per cortesia: no PVT Tecnici
    ******* LINKS *******
    SRL
    MetalWave

  2. #12
    a prescindere tutti i giusti consigli:

    register_globals boolean

    Indica se registrare o meno le variabili EGPCS (Environment, GET, POST, Cookie, Server) come variabili globali.

    Dal » PHP 4.2.0, questo parametro è impostato per default a off.

    Guardare il capitolo della sicurezza riguardante l'uso di register_globals per maggiori informazioni.

    Si ricorda che register_globals non può essere impostato a runtime da (ini_set()). In alternativa, se permesso dal proprio host, si può utilizzare .htaccess. Un esempio di riga .htaccess: php_flag register_globals off .

    Nota: Il parametro register_globals è influenzato da variables_order directive.

    Questa direttiva è stata rimossa in PHP 6.0.0.


    PHP_INI_PERDIR 2
    Parametro che può essere impostato in php.ini, .htaccess oppure in httpd.conf
    meglio quindi se aggiorni lo script.


    Il silenzio è spesso la cosa migliore. Pensa ... è gratis.

  3. #13
    Utente di HTML.it L'avatar di Razorblade
    Registrato dal
    Feb 2002
    Messaggi
    1,308
    Ciao,
    se la tua intenzione è quella di modificare il valore di register_globals sul tuo dominio Aruba non credo che tu possa farlo, a meno che tu non abbia acquistato un qualche pacchetto che ti permette di fare ciò. Per ulteriori info comunque rivolgiti al supporto di Aruba.

    Per modificare il valore di register_globals devi aprire il file php.ini del tuo server e cercare 'register_globals'. Quando lo trovi modifica il valore in base alle tue preferenze, salva e riavvia il server.

    Come già è stato scritto register_globals settato su ON è pericoloso perchè rende il sistema vulnerabile, ovvero rende tutte le variabili EGPCS ( Environment, GET, POST, COOKIE, SERVER ) a livello globale all'interno del codice.
    Questo può semplificare la scrittura della tua applicazione ma solo in apparenza:
    infatti, al raggiungimento di un certo livello di complessità inizieresti ad avere diversi problemi, tra questi quello della vulnerabilità su alcuni possibili controlli. Un esempio:

    Codice PHP:
    if ( isset($variabile) ) {
        echo 
    "La variabile e' inizializzata";
       
    // codice da eseguire in questo caso
    } else {
        echo 
    "La variabile non e' inizializzata.";
        
    // codice da eseguire, diverso dall'altro caso

    Con i register_globals settati su ON basterebbe scrivere una url del genere 'http://www.miosito.it/miapagina.php?variabile=quello_che_vuoi' per entrare nel primo caso del controllo senza che effettivamente $variabile sia stata intenzionalmente inizializzata dallo script e quindi renderebbe vano quel tipo di controllo.

    Ciao

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  
Powered by vBulletin® Version 4.2.1
Copyright © 2026 vBulletin Solutions, Inc. All rights reserved.