Nei nostri spazi è attivo il settaggio di default
REGISTER_GLOBALS_OFF, quando invece di solito questa impostazione viene lasciata in ON.
Perchè anche in questo settaggio siete diversi?Questo perchè ci teniamo alla sicurezza e programmare con REGISTER_GLOBALS_ON è pericoloso, permette le intrusioni in modo più facile, è deprecato sin dal PHP 4.2.0 e dal PHP 5 in diventerà il modo di lavorare standard.
Cosa comporta lavorare con REGISTER_GLOBALS_OFF?Comporta che le variabili speciali come ad esempio quelle di SESSIONE o di moduli inviati via POST o GET non possono essere richiamate direttamente, ma devono essere richiamate con la loro particolare sintassi. Questo comporta maggiore sicurezza.
Esempio pratico. Abbiamo un modulo dove inviamo via POST i campi per un'elaborazione "form to mail" ed è presente il campo "
nome". Ebbene questo campo non potrà essere richiamato semplicemente con
$nome, ma con
$_POST["nome"], perchè essendo disattivata la direttiva REGISTER_GLOBALS non ci sarà l'assegnazione automatica di qualsiasi variabile speciale nella forma semplificata.
Spiegazioni dettagliate su tale direttiva e la sicurezza che comporta le trovate a questi indirizzi:
http://it.php.net/manual/it/security.globals.phphttp://it.php.net/register_globalsHo installato OSCommerce che esige REGISTER_GLOBALS_ON!Le prossime versioni di tale softare saranno compatibili con register globals off e comunque esiste una patch per far si che le versioni attuali di tale software girino anche con REGISTER_GLOBALS_OFF.
http://www.oscommerce.com/community/contributions,2097Potete settare REGISTER_GLOBALS_ON solo per il mio spazio?Si, lo sconsigliamo, ma lo possiamo fare solo in caso di motivato bisogno. Ci sono stati anche diversi utenti che ci hanno ringraziato per questa direttiva, perchè è stato uno sprone che li ha motivati a rendere il loro script compatibile con questo modo di programmare consigliato e più sicuro! Incoraggiamo tutti gli utenti a rendere compatibili i propri script con REGISTER_GLOBALS_OFF perchè ne va della loro sicurezza e comunque si preparano sin da subito per il PHP 5. I settaggi del Registry di Windows possono andare in conflitto con queste impostazioni?
Anche a livello di FTP?