A maioria dos servidores trabalha com register_globals=off, pq agiliza o desenvolvimento. Eu n�o sei que medidas eles tomam para aumentar a seguran�a, pq a maioria das medidas de seguran�a (ou pelo menos uma parte importante), tem que ser tomada pelo programador, que deve sempre verificar fortemente as entradas de dados do usuario, para evitar entradas de dados maliciosos. On Mon, 4 Aug 2003 11:06:01 -0300 Ronan Lucio <[EMAIL PROTECTED]> wrote:
> Caros, > > Como PHP n�o � muito a minha "praia"... Ali�s, obrigado > �s diversas ajudar quando foi preciso, inclusivo ao Maia > que escreveu um verdadeiro manual de seguran�a em PHP. > > Instalei aqui na empresa um servidor de hospedagens PHP > no qual diversos clientes hospedam suas p�ginas. > > Como sempre, tive que tomar medidas especiais para > aumentar a seguran�a deste servidor, entre elas, setar > a v�ri�vel "register_globals" para off. > > Acontece que este par�metro est� me trazendo alguns > transtornos porque, pelo que vejo, muitos programadores > PHP n�o t�m se atualizado profissionalmente e grande > parte das p�ginas n�o funcionam no site sem alguns ajustes. > > Diante disto a minha d�vida �: > Se eu setar a vari�vel "register_globals" para "On" > isto ir� me trazer problemas de seguran�a ou posso > fazer isto sem maiores problemas? > > Pelo que vi, se eu setar esta vari�vel para On, ser� > poss�vel injetar c�digos PHP diretamente na URL, o que > abriria uma vulnerabilidade. O problema, como falei, > � que eu n�o entendo muito de PHP e n�o seu exatamente > at� onde isto � prejudicial. > > Outro problema � que a maioria dos clientes que vem > hospedar suas p�ginas conosco dizem que nos outros > provedores a p�gina estava funcionando, ou seja, ser� > que todos est�o trabalhando com register_globals=Off? > > Qualquer ajuda � bem vinda, > > []'s > Ronan > _______________________________________________________________ > Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr > Historico: http://www4.fugspbr.org/lista/html/FUG-BR/ > -- Atenciosamente, Rodolfo Fiuza _______________________________________________________________ Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
