Меню
Что нового?

Трансляция переменных и безопасность

untied

Сдвинутый новичок
Трансляция переменных и безопасность

Несколько раз слышал утверждение упертых сисадминов (которых настойчиво приходилось при этом уговаривать), что автоматическая трансляция параметров скрипта и куков в переменные нарушает безопасность системы. Ну то есть мне настойчиво предлагали пользоваться в скриптах только конструкцией $_SERVER['param'], а не просто $param. При этом объяснений по поводу безопасности никаких дано не было.

Действительно ли нарушается безопасность при этом?
 

SiMM

Новичок
И кто из вас после этого упёрт? Неужели хотя бы из соображений, чтобы работало всегда, не стоит писать под globals Off? И ведь главное - ничего, кроме упёртости, этому не мешает.
 

untied

Сдвинутый новичок
Ну это не ответ на вопрос о безопасности. :D
У большинства хостеров register_globals включено. А упертые админы попадались не у настоящих хостеров, а у отдельных самостийных компаний, которые с грехом пополам пытались запустить у себя собственный хостинг. (как я их уговаривал установить PHP::GD и настроить, наконец, работу MySQL -- это вообще отдельная песня)

Использовать трансляцию просто удобно. А штаны, конечно, при желании можно и через голову одевать. :D
 

Frol

Новичок
register_globals on сам по себе ничем не опасен.
опасно неправельное его использование.
 

SiMM

Новичок
А штаны, конечно, при желании можно и через голову одевать. :D
Нажмите для раскрытия...
Не вижу никакой связи, как и разницы с точки зрения набивания на клавиатуре между $var и $_GET['var'] (отмазки типа "писать долго" - не более чем детский лепет). А что касается безопасности - если тебе по барабану, что куки/пост тебе легко можно будет подсунуть через GET - то это уже твои проблемы. Как и то, что тебе больше по нраву абсолютно бесполезный session_register (ведь я правильно тебя понял - ты против любого $_ARR['var'], ибо называешь это "штанами через голову"?).
 

untied

Сдвинутый новичок
Originally posted by SiMM
А что касается безопасности - если тебе по барабану, что куки/пост тебе легко можно будет подсунуть через GET - то это уже твои проблемы.
Нажмите для раскрытия...
Ну вот, это уже какая-то здравая мысля. Липовый кук через ссылку в браузере... Угу-м. :rolleyes:
 
Войдите или зарегистрируйтесь для ответа.
Сверху