Hallo Profis,
kennt sich jemand mit dem Programm
Webshop-System „PREMIUM plus 2007“
von Modulare Business Software B.G. Lepiorz
aus?
Wenn ja, wäre das sehr gut, denn ich habe einige Fragen dazu.
Gruß
Sascha
Hallo,
Wenn ja, wäre das sehr gut, denn ich habe einige Fragen dazu.
dann frag doch mal. Dazu ist das Forum ja da 
Greetinx
Christian
Ich habe für das Programm eine MySQL-Datenbank auf dem Server von Strato eingerichtet. Hier muß die Funktion „Register_Globals“ auf on stehen. Leider ist bei Strato der Wert standartmäßig auf „off“.
Zitat:
Ein Feature von PHP, zur Erhöhung der Sicherheit, ist die Konfiguration von PHP mit „register_globals off“. Diese Einstellung ist ab der PHP Version 4.2.0 auch der standardmäßige Wert.
Mit Deaktivierung der Möglichkeit, irgendeine vom Benutzer übertragenen Variable in den PHP Code zu injizieren, können Sie die Anzahl „vergifteter“ Variablen reduzieren, welche ein potentieller Angreifer zufügen könnte. Dieser benötigt nun mehr Zeit, um sich Übermittlungen auszudenken und Ihre internen Variablen sind effektiv von den übergebenen Benutzervariablen isoliert.
STRATO hat ab PHP Version 4.4.1 diese standardmäßige Einstellung übernommen.
Eine Änderung der Voreinstellung auf „register_globals on“ für Ihre Domain ist vom unserer Seite aus leider nicht möglich, da seit PHP 4.1.0 von der PHP Group empfohlen wird, externe Variablen über die Superglobals, die weiter unten beschrieben werden, abzufragen.
Die Umstellung dieser Voreinstellung ist eine wesentliche Änderung in PHP. Die Anweisung „register_globals off“ beeinflusst den Satz von vordefinierten Variablen, die im globalen Bereich verfügbar sind.
Sie haben jedoch die Möglichkeit, diese Einstellung mit Hilfe einer „php.ini-Datei“, welche im Hauptverzeichnis ihrer Domain gespeichert werden muss, zu ändern. Bitte beachten Sie aber, dass eine „php.ini-Datei“ im Hauptverzeichnis ggf. zu anderen Fehlern führen könnte.
Beispiele:
Um DOCUMENT_ROOT zu bekommen, müssen Sie $_SERVER[‚DOCUMENT_ROOT‘] statt $DOCUMENT_ROOT verwenden.
Um $id von der URL http://www.wunschname.de/test.php?id=3 zu bekommen, $_REQUEST[‚id‘] statt $id oder $_ENV[‚HOME‘] statt $HOME.
Seit PHP 4.1.0 stehen superglobale Arrays wie $_GET, $_POST, $_SERVER, usw. zur Verfügung. Das bedeutet, dass ein PHP Script auf Informationen, die z.B. aus Formularen als GET oder POST Daten übermittelt werden, jetzt über die Superglobale $_REQUEST["] zugreifen muss.
Diese Neuerungen dienen der Sicherheit und Struktur innerhalb von PHP Scripten, und können anhand des folgenden Beispiels einfach in bestehende Scripte übernommen werden. Alternativ können Sie diesen Schutz auch umgehen, indem Sie den Befehl „extract“ verwenden. Hierzu könnten Sie ein kleines Script schreiben und dieses per „include“ in die bereits vorhandenen Scripte einbeziehen.
extract($_POST);
extract($_GET);
?>
Zitat Ende.
Wie kann ich nun den Wert auf on setzen, und wird das mit der beschriebenen Vorgehensweise funktionieren? Wenn ja, wie muß ich fortfahren?
Für Hilfe wäre ich sehr dankbar.
Gruß
Sascha
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
Hallo,
Ich habe für das Programm eine MySQL-Datenbank auf dem Server
von Strato eingerichtet. Hier muß die Funktion
„Register_Globals“ auf on stehen. Leider ist bei Strato der
Wert standartmäßig auf „off“.
Zitat:Ein Feature von PHP, zur Erhöhung der Sicherheit, ist die
Konfiguration von PHP mit „register_globals off“. Diese
Einstellung ist ab der PHP Version 4.2.0 auch der
standardmäßige Wert.
[…]
Sie haben jedoch die Möglichkeit, diese Einstellung mit Hilfe
einer „php.ini-Datei“, welche im Hauptverzeichnis ihrer Domain
gespeichert werden muss, zu ändern.
[…]
Alternativ
können Sie diesen Schutz auch umgehen, indem Sie den Befehl
„extract“ verwenden.[…]
Wie kann ich nun den Wert auf on setzen, und wird das mit der
beschriebenen Vorgehensweise funktionieren? Wenn ja, wie muß
ich fortfahren?
… obwohl diese Frage eigentlich bei PHP besser aufgehoben wäre, kann ich auch hier mal versuchen, eine Antwort zu geben:
Wenn Du mal liest, was Strato da schreibt - fällt Dir dann nicht der Widerspruch auf?
Eineseits haben sie ein Sicherheitsfeature eingebaut, anderseits erklären sie Dir, wie Du es umgehen kannst.
Wenn man dann noch einmal nach „PHP extract“ googelt (http://www.google.de/search?q=php+extract), bekommt man sofort weit oben auch diesen Treffer: http://de2.php.net/extract
Ich zitiere mal aus der Seite:
_ Warnung
Verwenden Sie extract() nicht für nicht vertrauenswürdige Daten wie Benutzereingaben ($_GET, …)._
Da wird also vor genau dem Vorgehen, was Strato rät gewarnt.
Ich mag mich da übrigens anschliessen - gerade wenn es um einen Webshop geht, dann sollte die Sicherheit an oberster Stelle stehen.
Daher wäre mein Schluss aus der Situation, vor der Du stehst folgender:
Wenn der Webshop verlangt, dass ein Sicherhetsfeature ausgeschaltet ist, dann ist der Webshop das Problem - dann ist das das falsche Programm.
Wenn Du Dir völlig sicher bist, was Du tust und wenn Du in der Lage bist, abzuschätzen, was Du tust und ob die Shop-Software diese Sicherheitslücke anders abfängt, dann kümmer Dich um die PHP.ini.
Die Art, wie Du Deine Frage hier stellst, deutet für mich (sorry, wenn ich mich vertue) allerdings darauf hin, dass Du es nicht weisst. Dann solltest Du - vielleicht hier oder auch im Brett „PHP“ versuchen jemanden zu finden, der das abschätzen kann.
Sorry, ich nehme an, das war nicht ganz die Antwort, die Du hören wolltest …
Greetinx
Christian