PDA

Bekijk Volledige Versie : register_globals on



JanSmit
01/03/07, 23:10
Hoi,

Klein vraagje:

Hebben jullie als hosters register_globals on of off in php.ini staan?

De reden dat ik het vraag is dat oscommerce wil installeren op onze server voor een klant, maar tegen het probleem aanloop dat ik dit op "on" moet zetten. Kwa veiligheid niet vestandig geloof ik, maar ben wel benieuwd wat jullie hiermee hebben gedaan.

Gr

Jan

ShowU
01/03/07, 23:11
heb m gewoon op off laten staan, nog niets in oscommerce ontdekt wat nu niet werkt...

JanSmit
01/03/07, 23:25
Kan hem niet installeren met globels gedisabled :mad:

Marin
01/03/07, 23:35
wij hebben hem off staan, maar een klant kan hem on zetten door het volgende toe te voegen in de .htaccess in de root van oscommerce:



<IfModule mod_php4.c>
# php_value session.use_trans_sid 0
php_value register_globals 1
</IfModule>
php_flag register_globals on

JanSmit
01/03/07, 23:45
Ja had ik ook ergens gelezen, maar das voor apache webservers. Wij hebben een iis server :rolleyes:

B3rt
02/03/07, 01:19
Gebruik je een panel?

Zo ja moet je eens kijken of je panel software geen ondersteuning heeft voor een eigen php.ini voor 1 domein, diverse panels kunnen dit namelijk wel.

JanSmit
02/03/07, 09:57
Hoi,

Ik gebruik plesk 7.6 voor windows. Heb je een idee of deze dat kan? en kan je me op weg helpen naar waar dat dan zou moeten worden ingesteld?

Ik hoor het graag

jan

xYnta
02/03/07, 10:36
Uit, tenzij je natuurlijk graag gehackt wordt en een server vol onbeveiligde scripts hebt.

Triloxigen
02/03/07, 10:45
Uit, tenzij je natuurlijk graag gehackt wordt en een server vol onbeveiligde scripts hebt.

Dat is een beetje een worst case scenario.


Het is onveilig voor de website beheerder zelf doordat er eenvoudig variablen gewijzigd kunnen worden.
Het ligt dus totaal van het type script af of er bestanden gepload kunnen worden, er moet daarvoor wel schrijfmogelijkheden zijn bijvoorbeeld.

Wat voor effect het op de server heeft is afhankelijk van de beveiliging die je stelt.

Ingvald
02/03/07, 15:01
Er bestaat een patch om het zonder register_globals te installeren en laten werken:
http://www.oscommerce.com/community/contributions,2097/category,all/search,register_globals

Indien het om een nieuwe installatie van oscommerce gaat, kan je gewoon de betreffende bestanden vervangen door die van de patchen, indien je een bestaande installatie hebt met mods moet je een hoop regels code manueel vervangen.

Tha_Wiz
02/03/07, 21:14
De oplossing voor IIS is om simpelweg je website in Plesk zo te configureren dat php als CGI gedraait moet worden. Dit bij de hosting setup van het domein in Plesk aangeven (geen vinkje zetten bij run as ISAPI extension, wat overigens standaard ook niet het geval is). Doordat voor ieder request even apart een php.exe wordt opgestart kun je ook een eigen php.ini gebruiken (in tegenstelling tot php draaien in ISAPI wat overigens wel sneller is).

Vervolgens kun je in de root van je website (httpdocs) een eigen php.ini gebruiken waarop je de register global op on zet. Dit geldt dan gewoon alleen voor je eigen site. Als je provider overigens ook de application vault aanbiedt, dan kun Plesk zelfs automatisch OsCommerce laten installeren.

Succes!

Ingvald
02/03/07, 21:27
Je kan bij PHP/ISAPI onder IIS ook per vhost instellingen wijzigigen:
zie http://be.php.net/configuration.changes#configuration.changes.window s

Het voordeel hiervan is dat je als hoster zelf de controle houdt over welke instellingen enabled worden, aangezien het in de registry moet gebeuren.

Via diezelfde registry key (HKEY_LOCAL_MACHINE\SOFTWARE\PHP\) kan je trouwens ook het path aangeven van php.ini zodat je op dezelfde server zowel PHP4 en PHP5 als ISAPI module kan draaien.