Hi!
Im Moment arbeite ich mit register_globals=On. Ich würde das nun gerne
ändern, kapiere aber im Moment nicht, wie das funktionieren soll.

Meine Seiten rufe ich über index.php?SID=xyz auf. xyz ist die Nummer der
Seite, die ich anzeigen will.

Im Moment enthält SID dem Wert, der per URL übergeben wurde.

Wie übertrage ich diese SID, wenn register_global=Off ist und ohne es in der
URL zu übergeben????

Danke,
Micha

.oO(Michael Volk)

>Im Moment arbeite ich mit register_globals=On. Ich würde das nun gerne
>ändern, kapiere aber im Moment nicht, wie das funktionieren soll.
>
>Meine Seiten rufe ich über index.php?SID=xyz auf. xyz ist die Nummer der
>Seite, die ich anzeigen will.
>
>Im Moment enthält SID dem Wert, der per URL übergeben wurde.
>
>Wie übertrage ich diese SID, wenn register_global=Off ist und ohne es in der
>URL zu übergeben????

In der URL bleibts, Du greifst in Deinem Skript nur anders auf den Wert
des Parameters zu:

$_GET['SID'] anstelle von $SID

Predefined variables
http://www.php.net/manual/en/language.variables.predefined.p hp

HTTP GET variables: $_GET
http://www.php.net/manual/en/reserved.variables.php#reserved .variables.get

Micha

"Michael Fesser" <netizen [at] gmx.net> schrieb im Newsbeitrag
news:6tm4p017ilf135ktg5dt1pih6ni7nm2u89 [at] 4ax.com...
> .oO(Michael Volk)
>
>>Im Moment arbeite ich mit register_globals=On. Ich würde das nun gerne
>>ändern, kapiere aber im Moment nicht, wie das funktionieren soll.
>>
>>Meine Seiten rufe ich über index.php?SID=xyz auf. xyz ist die Nummer der
>>Seite, die ich anzeigen will.
>>
>>Im Moment enthält SID dem Wert, der per URL übergeben wurde.
>>
>>Wie übertrage ich diese SID, wenn register_global=Off ist und ohne es in
>>der
>>URL zu übergeben????
>
> In der URL bleibts, Du greifst in Deinem Skript nur anders auf den Wert
> des Parameters zu:
>
> $_GET['SID'] anstelle von $SID
>
> Predefined variables
> http://www.php.net/manual/en/language.variables.predefined.p hp
>
> HTTP GET variables: $_GET
> http://www.php.net/manual/en/reserved.variables.php#reserved .variables.get
>
> Micha

Hi!
Dann lässt sich aber doch weiterhin beliebiger Wert von SID für einen
Angreifer einsetzen, oder?

Danke.

Gruss,
Micha

.oO(Michael Volk)

>Dann lässt sich aber doch weiterhin beliebiger Wert von SID für einen
>Angreifer einsetzen, oder?

Natürlich. Das hat aber mit register_globals nichts zu tun, sondern ist
ein generelles Problem, dem Deine Applikation Rechnung tragen muß. Du
mußt immer damit rechnen, daß SID irgendwelchen Müll enthält.

Micha

Michael Fesser wrote:

> In der URL bleibts, Du greifst in Deinem Skript nur anders auf den Wert
> des Parameters zu:
>
> $_GET['SID'] anstelle von $SID

Wobei $SID evtl ein ungünstiger Name ist, denn bei 1&1 und anderen ist
das der voreingestellte Wert für session.name (anstatt PHPSESSID) und
enthält die Session-ID...

Ciao
Mike

Michael Volk schrieb:

> "Michael Fesser" <netizen [at] gmx.net> schrieb im Newsbeitrag
> news:6tm4p017ilf135ktg5dt1pih6ni7nm2u89 [at] 4ax.com...
>
>> In der URL bleibts, Du greifst in Deinem Skript nur anders auf den Wert
>> des Parameters zu:
>>
>> $_GET['SID'] anstelle von $SID
>
> Dann lässt sich aber doch weiterhin beliebiger Wert von SID für einen
> Angreifer einsetzen, oder?

Ja natürlich. Aber du weißt wo die Variable herkommt.

Vorher, mit aktivem register_globals, konnte der Wert auch aus POST oder
einem Cookie stammen und was viel schlimmer ist, der Wert den du aus
einem Cookie erwartetest konnte auch aus einem Get-Request kommen.

Gruß,
Matthias

Michael Unverzagt <ryukia [at] web.de> schrieb:
> Michael Fesser wrote:
>
>> In der URL bleibts, Du greifst in Deinem Skript nur anders auf den
>> Wert des Parameters zu:
>>
>> $_GET['SID'] anstelle von $SID
>
> Wobei $SID evtl ein ungünstiger Name ist, denn bei 1&1 und anderen ist
> das der voreingestellte Wert für session.name (anstatt PHPSESSID) und
> enthält die Session-ID...

Deswegen ja... Wie willst du sonst an den Wert bei 1&1 kommen?

MfG
Niels

--
IcH fInDe AuCh, dAsS eS nIcHt So WiChTig IsT, eInEn TeXt In KoRrEcKtEr
gRoSs- Und KlEiNsChReIbUnG zU vErFaSsEn, Da DiEs DeR LeSbArKeIt KaUm
AbBrUcH tUt UnD zUdEm AuSdRuCk MeInEr InDiViDuAlItAeT iSt.
[Joachim Kromm in dsnu]

Michael Unverzagt schrieb:
> Michael Fesser wrote:
>> In der URL bleibts, Du greifst in Deinem Skript nur anders auf den Wert
>> des Parameters zu:
>>
>> $_GET['SID'] anstelle von $SID
>
>
> Wobei $SID evtl ein ungünstiger Name ist,

Das auf jeden Fall.

> denn bei 1&1 und anderen ist das der voreingestellte Wert für
> session.name (anstatt PHPSESSID) und enthält die Session-ID...

Du bist Dir da ganz sicher? Ich mein' ja nur, weil SID (ohne $) nämlich
eine vordefinierte Konstante ist, die session_name().'='.session_id()
enthält. Das wäre ja Begriffsverwirrung pur. Ich will nicht glauben, das
ein Provider sowas macht.


Gruß, JPM