ilias_n
Новичок
register_globals = On и безопасность
В сущности вопрос в следующем:
Почему подобная настройка в php.ini создает дыру в безопасности? В чем потенциальная опасность?
Возможно я не до конца понимаю проблему, но как мне кажется register_globals = Off только разделяет переменные по типу метода их передачи на сервер (GET, POST, COOKIE). То есть если переменная должна придти методом POST скрипт не примет эту переменную посланную пользователем методом COOKIE. Какие дыры в безопасности это закрывает? Эти вопросы я задаю потому что при register_globals = Off приходится совершать лишние телодвижения и каждый раз писать что то типа $temp=$_POST['temp']; От чего это защищает, просто кроме лишнего кода я в этом ничего разумного не вижу. И что еще надо делать с принятыми от юзера переменными при register_globals = Off чтобы было совсем уж безопасно?
Просто я пользуюсь для защиты скриптов только конструкциями вида
$login=substr($login,0,$i); и $login=htmlspecialchars($login);
Достаточны ли такие методы защиты.
В сущности вопрос в следующем:
Почему подобная настройка в php.ini создает дыру в безопасности? В чем потенциальная опасность?
Возможно я не до конца понимаю проблему, но как мне кажется register_globals = Off только разделяет переменные по типу метода их передачи на сервер (GET, POST, COOKIE). То есть если переменная должна придти методом POST скрипт не примет эту переменную посланную пользователем методом COOKIE. Какие дыры в безопасности это закрывает? Эти вопросы я задаю потому что при register_globals = Off приходится совершать лишние телодвижения и каждый раз писать что то типа $temp=$_POST['temp']; От чего это защищает, просто кроме лишнего кода я в этом ничего разумного не вижу. И что еще надо делать с принятыми от юзера переменными при register_globals = Off чтобы было совсем уж безопасно?
Просто я пользуюсь для защиты скриптов только конструкциями вида
$login=substr($login,0,$i); и $login=htmlspecialchars($login);
Достаточны ли такие методы защиты.
