Page selector
Okt
02

php Sicherheit (register_globals und display_errors)

Kategorie: Webentwicklung


Die Sicherheit von php auf shared Servern ist in den meisten Fällen nicht sehr hoch. Vor allem bei der Variante php mittels mod_php zu betreiben, können Sicherheitsprobleme auftreten. Auch die Einstellmöglichkeiten sind hier sehr begrenzt, da kein direkter Zugriff auf die php.ini besteht.

Um die Sicherheit ein wenig zu erhöhen sollten jedoch zumindest zwei Grundlegende Einstellungen vorgenommen werden. Per .htaccess-Datei können 2 wichtige Einstellungen verändert werden, die bei den meisten Shared Hostern standardmäßig aktiviert sind. Zum einen ist das die Option „register_globals“, welche bewirkt, dass automatisch alle Variablen die per GET, POST oder in der SESSION vorhanden sind auch als globale Variablen registriert werden. Die zweite Option ist „display_errors“, die während des Entwicklungs- und Debugprozesses  sehr nützlich ist, in einer Produktivumgebung aber auch Informationen für weitere Angriffe liefern kann.
Die beiden Optionen können einfach per .htaccess-Datei deaktiviert werden. Die zwei Zeilen werden dazu in die .htaccess-Datei im root-Verzeichnis des Servers eingetragen und sehen wie folgt aus:
php_flag register_globals off
php_flag display_errors off

<< zurück zur News Übersicht

Kommentare:

  • 1
    Name:
    Tim
    Datum:
    02.10.2007 - 20:37
    Homepage:
    http://www.timroschanski.de
    Du hast im RSS nette Symbole zur Weiterverarbeitung, warum zeigst du Sie nicht im normalen Artikel an?

  • 2
    Name:
    Fabian
    Datum:
    03.10.2007 - 12:43
    Weil der RSS durch den Feed-Burner läuft und dort aufbereitet wird. Aber das ist mal ne Idee, dass ich die Sachen auch mal in mein News Script integriere.

  • 3
    Name:
    Robert
    Datum:
    26.10.2007 - 12:58
    E-Mail:
    linkmatrix@gmail.com
    Homepage:
    http://www.LinkMatrix.de
    Sehr nuetzlich. Hab diese Sicherheitshinweise bisher nirgends gesehen und wusste nicht, dass man per .htaccess das ausschalten kann.

    Super! Herzlichen Dank.

  • 4
    Name:
    Sport Bloger
    Datum:
    20.01.2008 - 16:25
    Homepage:
    http://www.sports-news.eu
    Super Hinweis! Bin bei meinem neuen Hoster wegen display_errors fast verzweifelt. Die Lösung über die htaaccess funktioniert perfekt!

    Lg

Neuen Kommentar hinzufügen:




Bitte gib den nebenstehenden Sicherheits-Code in das Feld ein:




Mit * markierte Felder müssen ausgefüllt werden!