یک سوال درباره register_globals در php.ini

aliahmadi

Member
سلام
یک سوال در باره php.ini داشتم. می خواستم بدونم که اگر در سرور لینوکس در بخش php.ini مقدار register_globals را به On تغییر دهیم مشکل امنیتی در سرور پیش می آید یا نه.
با تشکر
 

farsid

Member
مشکل امنیتی اصلا و اصولا پیش نمی آد و تقریبا همه ی سرور های استاندارد اون رو به صورت پیش فرض فعال دارنش
 

oxygenws

Active Member
اما می تونه به راحتی و به دلیل کمبود دقت برنامه نویس، مشکل ایجاد کنه.
 

zfarhad2003

Member
هیچ مشکل امنیتی برای سرور و Php پیش نمی یاد. فقط برنامه نویسان رو مجبور می کنم یکم بهتر روی کدشون فکر کنن تا هر متغیری رو همینجوری نندازن توی دستورات Sql
 

zfarhad2003

Member
oxygenws گفت:
برادر فرهاد، "هیچ" نیست. **می تونه** اشکال ایجاد بکنه.

می شه توضیح بدین چه مشکلاتی می تونه برای سرور یا PHP ایجاد کنه؟

تا اونجایی که من می دونم این گزینه register_globals فقط برروی بعضی از متغیرها تاثیر داره. اگه مورد دیگه ای است که من نمی دونم لطفا بگین؟
 

aliahmadi

Member
سلام خدمت دوستان
من درباره این سوالی که در انجمن مطرح کردم خیلی جستجو کردم تا توی سایت امنیتی php تونستم توضیحاتی در باره این سوال پیدا کنم.
اینم لینکش: http://phpsec.org/projects/guide/1.html
تو توضیحاتی که داده میگه که این کار رو انجام ندین چون ریسکش زیاده. بقیشم خودتون بخونین.
با تشکر
 

oxygenws

Active Member
خاموش کردن این گزینه، می تونه باعث کاهش امنیت صفحات بشه......
پاین اومدن صفحات *می تونه* باعث پایین اومدن امنیت سرور بشه.

مثلا.....
الان توی اینترنت پر کرم هایی برای phpBB یا امثالهم است که دنبال حفره های تعیین شده بگردند و ربات بفرستند روی سرور..... این یعنی پایین اومدن امنیت یک برنامه، امنیت سرور رو میاره پایین.
حفره امنیتی در برنامه، می تونه مشکلات امنیتی *remote* رو به *local* تبدیل کنه.
 

zfarhad2003

Member
خوب این مورد اصلا ربطی به خود PHP یا سرور نداره. یعنی اگه برنامه نویس دقت کافی به خرج بده و خوب برنامه نویسی کنه هیچ وقت با روشن بودن register_globals مشکلی پیش نمی یاد.

در واقع این مسئولان هاست هستند که باید بررسی کنین ببینن اگه کسی توی سایتش اسکریپتی داره که باعث می شه روی سرور مشکل امنیتی ایجاد کنه جلوش رو بگیرن.

وقتی ما داریم از امنیت سرور یا PHP حرف می زنین این امنیت مربوط به خود حفره های سیستم عامل و PHP می شه نه اسکریپتهایی که سبب ایجاد حفره می شن. مثلا فرض کنین شما روی سیستم خودتون یه تروجان نصب کنین و بعد بگین که سیستم من امنیت نداره در واقع این خود شما هستین که امنیتش رو پایین آورین گناه رو سر سیستم نندازین.

در مورد OsCommerce هم فکر کنم یه Patch توی خود سایتش بتونی پیدا کنی که مشکل register_global رو حل کنه.
 

oxygenws

Active Member
سوال این بود:
می خواستم بدونم که اگر در سرور لینوکس در بخش php.ini مقدار register_globals را به On تغییر دهیم مشکل امنیتی در سرور پیش می آید یا نه.

و این پاسخ شما اصلا برای من مفهوم نبود، عذر می خوام!
خوب این مورد اصلا ربطی به خود PHP یا سرور نداره. یعنی اگه برنامه نویس دقت کافی به خرج بده و خوب برنامه نویسی کنه هیچ وقت با روشن بودن register_globals مشکلی پیش نمی یاد.
 

zfarhad2003

Member
خوب مثلا اگه register_globals رو ON تنظیم شده باشه و حال برنامه نویس بیاد و از هر متغیری که با متد GET فرستاده می شه خیلی راحت با استفاده از نام خود متغیر استفاده کنه بدون اینکه اصلا برسی کنه که این متغیر از کجا می یاد و چرا می یاد حالا این بی دقتی برنامه نویس رو می شه بر سرور Register_globals انداخت یا اصلا گفت که PHP دارای ضعف امنیتیه؟
 
آخرین ویرایش:

aliahmadi

Member
سلام
من با بچه های گروه هک آشیانه صحبت کردم و اونا هم گفتن که این کار امنیت سرور رو پایین میاره.
 

oxygenws

Active Member
این کار امنیت رو پایین میاره، به شرطی که مدیر سرور زیاد چیزی از مدیریت سرور ندونه.
به هر حال، مدیر سرور می تونه تقریبا تمام مشکلات امنیتی خفنی که *ممکنه* register_globals به وجود بیاره رو حذف کنه.

من شخصا اگر سرور داشتم، این گزینه رو روشن می ذاشتم. :)
 

armin_390

New Member
ُسلام
فکر کنم برعکس گفتی!
به نظر من مشکل رجیستر گلوبالز اینه که مثلا شما یه متغیر کنترلی تعریف می کنی و بدون دادن مقدار اولیه به اون متغیر اون رو تو شرط های کنترلیت استفاده می کنی خوب وقتی رجیستر گلوبالز روشن باشه دیگه دیگه...
 

جدیدترین ارسال ها

بالا