Oppdatert til 1.0.11, sikkerhetsmelding php register-globals On instead of OFF

[Knut]

Etter oppdatering til 1.0.11 har disse nye sikkerhetsadvarslene dukket opp. Hos meg står det følgende:
PHP register_globals setting is `ON` instead of `OFF`

Hvordan fikser jeg det, og HVOR fikser jeg det?

Knut B.

[jenscski]

Hvis du kjører joomla på din egen maskin så kan du endre register_globals i php.ini, men hvis du har siden din hos et webhotel så kan du trolig benytte deg av .htaccess


Hvis du ikke har en .htaccess fil fra før, så lag en og legg
php_flag register_globals off
i den. Og har du denne filen fra før, legg til denne linjen.

[Øystein M]

Noen 3. parts komponenter slutter å fungere når du skrur denne av, noen som har en forklaring på hvorfor, og hva som eventuelt må endres hvis komponenten skal fungere med register-globals OFF?

[jenscski]

Noen 3. parts komponenter slutter å fungere når du skrur denne av, noen som har en forklaring på hvorfor, og hva som eventuelt må endres hvis komponenten skal fungere med register-globals OFF?

Det finnes ingen enkle grep for at komponenter som er dårlig skrevet skal fungere med register globals av, enten så må man leve med register globals på, mase på utviklerene, eller endre komponentene selv slik at de fungerer med register globals av..

[Øystein M]

For min egen del gjelder dette en "dårlig skrevet" komponent som ligger utenfor joomla, men den er like fullt et problem hvis den skal ligge på samme domene.

Der skrev jeg faktisk løsningen på dette selv. Jeg kan jo legge denne på et eget område på serveren, og peke til den via et subdomene. Sånn kan det være av til.

[Stinus]

Hei

Hvis du kjører joomla på din egen maskin så kan du endre register_globals i php.ini, men hvis du har siden din hos et webhotel så kan du trolig benytte deg av .htaccess


Hvis du ikke har en .htaccess fil fra før, så lag en og legg php_flag register_globals off i den. Og har du denne filen fra før, legg til denne linjen.

Du kan også gjøre det på en annen måte. Forandre i global.php

Dette fungerte for meg.
Hvis du fikk en feilmelding med

define( 'RG_EMULATION', 0 );

Så kan du gå gå inn i global.php og sette dette til 0 i steden for 1.  se Don't forget to turn off register global emulation of Joomla as well
Her er det også en oppdatert liste over ukomblitable komponenter

Se også på denne Joomla Administrator's Security Checklist

[RS|Stian]

Har nettopp oppgradert fra 1.0.8 til 1.0.11 på websiden min GoFast Productions, og etter dette får ingen logget inn under 'Members Login'. Får følgende melding:  "You are not authorized to view this resource". Hva kommer dette av?

Logger jeg inn på admin-delen står disse sikkerhetsmeldingene:

Following PHP Server Settings are not optimal for Security and it is recommended to change them:

* PHP magic_quotes_gpc setting is `OFF` instead of `ON`
* PHP register_globals setting is `ON` instead of `OFF`

Det sto en sikkerhetsmelding til men denne har jeg fikset, gikk inn i globals.php-fila og endret 'RG_EMULATION' til 0.
Har skjønt at disse PHP-serverinnstillingene kan endres i en fil kalt php.ini, men denne finner jeg ikke noe sted? Finner 'magic_quotes_gpc' og 'register_globals' under System Info/PHP-info, men får ikke endret noe her.

Håper på svar da det er litt irriterende for meg og brukere på sida og ikke kunne logge inn.

[affien]

Hei.
Jeg kjører Apache og PHP på RedHat Linux, og her er stien til php.ini som så "/etc/php.ini"

Du kan jo alltids kjøre et søk etter filen? Dersom du er administrator på serveren da...

mvh
Affien