macromaniac
27-11-2007, 10:17
Witam.
Zainstalowałem Joomle bez problemów ... mam tylko problem ze zmianą register_globals. Znalazłem temat pomocy, w którym opisane jest to tak:
Dyrektywa register_globals ustala, czy zmienne środowiska, GET, POST, COOKIE i serwera mają być rejestrowane. Ustawienie register_globals=ON stwarza zagrożenie w przypadku źle napisanych skryptów (niewłaściwych knstrukcji pętli i warunkow). Powoduje, że wszystkie zmienne wysłane do skryptu tworzone są jako globalne i nadpisują wcześniej ustalone wartości tych zmiennych lub tworzą zmienne jeszcze nieistniejące, ale wykorzystywane później w skrypcie. Tę sytuację mogą wykorzystać średnio zaawansowani rozbójnicy internetowi, aby np. oszukać procedurę autoryzacji.
Dla Joomla! ta dyrektywa winna być wyłączona - dostęp do zmiennych EGCPS realizowany jest za pomocą składni $HTTP_ENV_VARS['zmienna'] lub $_POST['zmienna'] czy też $HTTP_GET_VARS['zmienna'] lub $_GET['zmienna']. Wyłączenie register_globals powoduje, że PHP nie utworzy żadnych nie zdefiniowanych wprost w skrypcie zmiennych globalnych.
Opcję register_globals można jednak wyłączyć dla konkretnego katalogu. Wystarczy w pliku .htaccess wpisać wiersz:
php_flag register_globals 0
W pliku .htaccess wpisałem podany wiersz ... ale nic to nie dało.
Jak można usunąć ten błąd?!?
Zainstalowałem Joomle bez problemów ... mam tylko problem ze zmianą register_globals. Znalazłem temat pomocy, w którym opisane jest to tak:
Dyrektywa register_globals ustala, czy zmienne środowiska, GET, POST, COOKIE i serwera mają być rejestrowane. Ustawienie register_globals=ON stwarza zagrożenie w przypadku źle napisanych skryptów (niewłaściwych knstrukcji pętli i warunkow). Powoduje, że wszystkie zmienne wysłane do skryptu tworzone są jako globalne i nadpisują wcześniej ustalone wartości tych zmiennych lub tworzą zmienne jeszcze nieistniejące, ale wykorzystywane później w skrypcie. Tę sytuację mogą wykorzystać średnio zaawansowani rozbójnicy internetowi, aby np. oszukać procedurę autoryzacji.
Dla Joomla! ta dyrektywa winna być wyłączona - dostęp do zmiennych EGCPS realizowany jest za pomocą składni $HTTP_ENV_VARS['zmienna'] lub $_POST['zmienna'] czy też $HTTP_GET_VARS['zmienna'] lub $_GET['zmienna']. Wyłączenie register_globals powoduje, że PHP nie utworzy żadnych nie zdefiniowanych wprost w skrypcie zmiennych globalnych.
Opcję register_globals można jednak wyłączyć dla konkretnego katalogu. Wystarczy w pliku .htaccess wpisać wiersz:
php_flag register_globals 0
W pliku .htaccess wpisałem podany wiersz ... ale nic to nie dało.
Jak można usunąć ten błąd?!?