[PHP 5] Parameter über adressleiste geht nicht
-
hi
normalerweise kann man ja bei einer url so parameter übergeben:http://www.meinepage.de/script.php[b]?a=5&b=3[/b]dann sollten die werte 5 und 3 in den variablen $a und a und $b sind in der php datei vorhanden und es ist auch alles am laufen (lokaler webserver mit php))
ich habe php 5 installiert. wurde das dort anders gestaltet oder muss ich etwas angeben oder so?
bitte helft mir und auch den anderen im informatikkurs.
-
REGISTER_GLOBALS=OFF
Das ist keine Boshaftigkeit von PHP 5, sondern eine eigentlich schon längst fällige, notwendige Sicherheitsmaßname, um unerfahrene Leute und solche, die Sicherheit für unwichtig halten, vor sich selbst zu beschützen.
Die Variablen werden nicht mehr in den globalen Variablen $a oder $b gespeichert, wodurch ein potentieller Angreifer jeden beliebigen bösartigen Code bei nicht initiierten Variablen einschleusen könnte, sondern im superglobalen assoziativen Array $_GET (als $_GET['a'] und $_GET['b']). Gewöhn' dich da dran, es ist besser so
RegisterGlobals steht seit PHP 5 standardmäßig auf off, vorher auf on. Komm aber bitte nicht auf die Idee, das wieder einzuschalten! Zudem sei bemerkt, dass du auch wenn RegisterGlobals aktiviert ist (häufig unter PHP 4.x der Fall), auf jeden Fall trotzdem den Weg per $_GET gehen solltest!
-
-
"und solche, die Sicherheit für unwichtig halten, vor sich selbst zu beschützen."
Naja, Unerfahrene hätten vielleicht stärker draufhin gewiesen werden müssen. Aber die, die es nicht für nötig halten ...? Da bringt es wahrscheinlich nicht soviel, da es auch sicher sonst irgendwo Angriffsfläche gibt.
Zudem kommt noch der Satz den ich irgendwo gelesen habe... Ein Hacker hat unendlich viel Zeit und Energie zu verfügung, eine Website anzugreifen... okay, ist etwas schwammig rezitiert, aber ich denke der Sinn ist gleich geblieben.
-
noobieX schrieb:
Ein Hacker hat unendlich viel Zeit und Energie zu verfügung, eine Website anzugreifen...
Sowas machen heutzutage aber keine klassischen "Hacker" mehr. Ein moderner gewerbsmäßiger Einbrecher hat für jeden Server nur so viel Zeit bis er merkt dass tausende andere Seiten zehnmal leichter zu knacken sind. Der will nämlich an die Rechenleistung / Bandbreite / IP-Adresse (zum Missbrauch) des Opfers.
Und denen muss man's ja nicht absichtlich leicht machen
-
hi,
wieso sollte man nicht get verwendenden??? post ist doch fast gleich einfach zu lesen. muss man nur den verkehr abhoeren, schon sieht man alles.
gruss
msp
-
@msp:
Auf welchen Beitrag antwortest Du? Ich sehe in diesem Thread nirgendwo dass man die GET-Method nicht verwenden solle...
-
hi,
ich schreibe natuerlich zu diesem thread:
zitat: Das ist keine Boshaftigkeit von PHP 5, sondern eine eigentlich schon längst fällige, notwendige Sicherheitsmaßname, um unerfahrene Leute und solche, die Sicherheit für unwichtig halten, vor sich selbst zu beschützen.
zitat endegruss
msp
-
Dann lies dir mal meinen gesamten Post und den, auf den er sich bezieht, noch einmal durch. Denk mal darüber nach, was du da falsch verstanden hast ...
Im Übrigen hat unterscheiden sich GET und POST nur in der Art der Übertragung; nämlich einmal über den URL und einmal über den HTTP-Header. Wo da das Abhören der Leitung ins Spiel kommen soll, ist mir ein Rätsel? Beide Techniken sind gleich unsicher, nur dass viele Browser POST i.d.R. verschlucken bzw. es nicht so auffällig ist.
-
hi,
da hast du recht, hab ich wohl was falsch gelesen.
gruss
msp
-
msp schrieb:
hi,
wieso sollte man nicht get verwendenden??? post ist doch fast gleich einfach zu lesen. muss man nur den verkehr abhoeren, schon sieht man alles.
gruss
mspGET sollte man bei PASSWORT UND USERNAMEN nicht verwenden weil Browser URLS (mit allen GET) speichern und man so die Daten bekommt.
-
hi,
das ist und war mir schon klar.
gruss
msp