PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Global_register_off umgehen



DJRazR
09.07.2006, 01:50
hi!

Einige Addons benötigen register_global auf ON. dies kann sicherheitslücken nach sich ziehen.

so kann man es umgehen:

in /lib/functions.lib.php nach dem <? bzw <?php am anfach folgendes einfügen



if (isset($HTTP_GET_VARS))
extract($HTTP_GET_VARS);
if (isset($HTTP_POST_VARS))
extract($HTTP_POST_VARS);


sieht bei mir so aus:



<?php
if (isset($HTTP_GET_VARS))
extract($HTTP_GET_VARS);
if (isset($HTTP_POST_VARS))
extract($HTTP_POST_VARS);
ini_set('zlib.output_compression_level', 6);
header("Cache-control: no-cache");
ob_start();
$db_host = "localhost";


hoffe es hilft manchen so wie es mir geholfen hat

Greez

tomi28
25.07.2006, 23:02
hmm hast fehler hinbekommen wenn nicht meld dichmal..
find das auch ziemlich doff das einige noch so schreiben derweil ist es ein risiko faktor.


mfg tomi

MK75
25.07.2006, 23:11
Schreibe mal Deinem Hoster, der schaltet das sicher sofort an, da habe ich noch nie was schlechtes in die Richtung gehört, naja, außer von ev**** vielleicht.

tomi28
25.07.2006, 23:13
das zu umgehen ist nicht schwer ist eine zeile code nur da bringt es mir nix was er da gepostet hat brache das was er als erstes ausliest.

Meiand
26.07.2006, 00:41
Original von MK75
Schreibe mal Deinem Hoster, der schaltet das sicher sofort an, da habe ich noch nie was schlechtes in die Richtung gehört, naja, außer von ev**** vielleicht.

Yep, EV***** schaltet gar nichts on! LEIDER.

tomi28
26.07.2006, 00:44
recht hat er...

bin selber hoster...
bei uns bleibts auch aus

MK75
26.07.2006, 11:09
Naja, einer macht es so, der nächste so, was soll an der Sache denn so schlimmes sein, das es aus bleibt, würde mich mal interessieren.

tomi28
26.07.2006, 13:23
wenn register global auf on ist kannst du wenn du ahnung hast denn server komplett darüber steuern wenn das kein vorwand ist das aus zu machen versteh ich die welt nichtmehr

kannst vieles manipulieren

90% der hoster habens off und finds auch gut so

wer zechen und so hat die nicht gehn sollen sich bei mir melden hab sie schon geändert das mit register global off auch gehn

mfg tomi

Baumeister
27.11.2006, 14:29
Hab das Problem bei der neuanmeldung.

Geben Daten alle ein, gehe auf anmelden und das passiert nicht weiter.


Hillffffe

Senator
26.12.2006, 23:59
Wenn es mit obigem Code nicht funktioniert
versuche folgendes in die functions.lib.php zu setzen:


extract($_REQUEST,EXTR_SKIP);

EarlofMidnight
27.12.2006, 00:27
Bei mir funktioniert es!

Danke!

SebbyPHM
27.12.2006, 01:42
also bei mir funzt alles auf register_globals = off - selbst die anmeldung, schnittstellen, etc...

und ohne solch einen code wohl bemerkt ;-)

Masterphil
27.12.2006, 13:00
Also, ich hab schon oft auf diesen Threat hier verwiesen.

Das VMS lief bei mir auch ohne diesen Schnipsel,

bis die ersten Games dazu kamen.

Und es gibt Games die diesen Schnipsel benötigen.

Mann kann den Schnipsel dann aber auch direkt in das Game packen,
klappt auch und die functions.lib bleibt frei davon...

MfG

Freesnooze
05.02.2008, 15:26
hmmm...
bei funkitonieren beide Schnippel leider nicht:confused:

Oder habe ich vll. etwas falsch gemacht?


Diese Datei enthielt Fremdcode welcher nicht veröffentlicht werden darf.
*edit by Gremlin*


Achso jetzt weiß ich auch endlich, was mit Fremdcodes gemeint ist ;)
*edit by me*

olib32
05.02.2008, 16:08
nehmt diesen dann funzt es auch

// Bei register_global=off Variablen eintragen
if (!ini_get('register_globals'))
{
$types_to_register = array('GET','POST','COOKIE','SESSION','SERVER');
foreach ($types_to_register as $type)
{
if (@count(${'HTTP_' . $type . '_VARS'}) > 0)
{
extract(${'HTTP_' . $type . '_VARS'}, EXTR_OVERWRITE);
}
}
}

Freesnooze
05.02.2008, 16:17
nehmt diesen dann funzt es auch

// Bei register_global=off Variablen eintragen
if (!ini_get('register_globals'))
{
$types_to_register = array('GET','POST','COOKIE','SESSION','SERVER');
foreach ($types_to_register as $type)
{
if (@count(${'HTTP_' . $type . '_VARS'}) > 0)
{
extract(${'HTTP_' . $type . '_VARS'}, EXTR_OVERWRITE);
}
}
}

habe den in der function.lib eingefügt.
Leider habe ich immer noch Probleme :(

olib32
05.02.2008, 17:16
habe den in der function.lib eingefügt.
Leider habe ich immer noch Probleme :(

du musst den in die dateien der module machen.

und immer nach <?

Freesnooze
05.02.2008, 17:19
du musst den in die dateien der module machen.

und immer nach <?
jo habe ich ja auch schon gemacht
funktioniert leider trotzdem nicht

aber trotzdem danke

edit:

habe jetzt ne mail vom support bekomme
es lag an einem fehlende sql eintrag

Freesnooze
05.02.2008, 17:22
sry für doppelpost