[PHP5] Variable überschreibt Session

**combie** · 09.10.2007, 16:47

Register_globals=On (und oder) veralterter Quellcode

**TobiaZ** · 09.10.2007, 21:42

Zeig mal ne kurzen Demo-Code.

**PHPCRAWLER** · 10.10.2007, 08:00

hier der Code

Ja ich habe register_globals eingeschalten.
Und damit kann man Variablen per Url überschreiben, aber Sessions ?

Dieser Teil steht im Login

PHP-Code:


$_SESSION["sureName"] = $row->sureName;

$_SESSION["foreName"] = $row->foreName;

In einer Anderen Site brauche ich die Variablen sureName und foreName

PHP-Code:


$sureName = $rowUsers->sureName;

$foreName = $rowUsers->foreName;

.. und ab jetzt steht in den Sessions der selbe Wert wie in den Variablen.

**Wyveres** · 10.10.2007, 08:22

naja weil sie ja bei Register Globals On das selbe sind.

PHP-Code:


$_SESSION['a']=1;

$a=2;



echo $a;

echo $_SESSION['a'];

wenn register globals auf on steht ergeben die beiden echo x) beides eine 2;
bei OFF wird erst eine 2 und dann eine 1 ausgegeben weil

$_SESSION['a'] dann != $a ist.

ps: register globals sollten eigentlich IMMER auf OFF stehen alles andere ist ein sicherheitsrisiko

**PHPCRAWLER** · 10.10.2007, 08:32

ja, da hast du wohl recht

Heute weiß ich das globals ein Sicherheitsrisiko ist, blöderweise laufen auf dem Server auch "alte" Anwendungen, d.h. ich kann derzeit nicht auf register_globals verzichten.

Habe aber für das aktuelle Projekt aufgrund des ersten Posts auf COOKIES umgestellt.
Diese fülle ich mit mehreren Werten, und wenn ich diese Werte dann brauche lasse ich die Cookies mit explode in einen Array schreiben, und kann dann, wenn ich die richtige Position weiss wieder darauf zugreifen.

DANKE für eure Hilfe.

**sysop123** · 10.10.2007, 08:53

ich habe mir mal für uralt scripte einen kleinen parser gemacht, der register_global OFF umgeht. einfach am anfang des scripts einfügen.

PHP-Code:


  $types_to_register = array('POST','GET');

    foreach ($types_to_register as $global_type)

    {

        $arr = @${'HTTP_'.$global_type.'_VARS'};

        if (@count($arr) > 0) extract($arr, EXTR_OVERWRITE);

        else

        {

            $arr = @${'_'.$global_type};

            if (@count($arr) > 0) extract($arr, EXTR_OVERWRITE);

        }

    }

wenn du dir des sicherheitsrisikos bewusst bist, bekommst du damit auch alte scripte ans laufen, wenn register_global=OFF steht.

**Benny-one** · 10.10.2007, 09:44

PHP-Code:


/*

Problem mit Register Globals On das lokale Variablen in der Session überschreibt.

__PHP_Incomplete_Class

powered by ghostgambler

*/

if (ini_get('register_globals')) {

    if (!empty($_SESSION)) {

        foreach ($_SESSION as $key => $value) {

            unset($$key);

        }

    }

}

Das Problem hatte ich in Sunshine CMS, da wurde mir eine komplette Instanz in die Session geschrieben... Der Schnipsel behebt das Problem.

**ghostgambler** · 10.10.2007, 15:15

tsk benny, dass du das von mir hast, hättest du wenigstens mal anmerken können >_>

**PHP-Desaster** · 10.10.2007, 18:20

Du kannst die PHP-Variablen auch per htaccess abschalten. Wenn du einen Server hast, ist das sicher am einfachsten!

**Benny-one** · 10.10.2007, 23:47

Original geschrieben von PHP-Desaster
Du kannst die PHP-Variablen auch per htaccess abschalten. Wenn du einen Server hast, ist das sicher am einfachsten!

Geht nicht überall. Und wenn er nen Server hat, kann er es auch gleich in der php.ini abschalten.

**PHP-Desaster** · 11.10.2007, 11:24

Original geschrieben von Benny-one
Geht nicht überall. Und wenn er nen Server hat, kann er es auch gleich in der php.ini abschalten.

Da hast du recht, das geht nicht immer! Aber vollständigkeitshalber wollt ichs mal mit reinwerfen

**H2O** · 11.10.2007, 11:46

Original geschrieben von sysop123
ich habe mir mal für uralt scripte einen kleinen parser gemacht,

Noch einfacher: import_request_variables()

[PHP5] Variable überschreibt Session