Register global

Moderator: ariadneduvessa

Locked
ticos
Joomla! Enthusiast
Joomla! Enthusiast
Posts: 117
Joined: Thu Jun 28, 2007 6:31 pm
Contact:

Register global

Post by ticos » Tue Oct 23, 2007 11:55 pm

Amigos,gostaria de um esclarecimento.
Qual o real problema de o register global ficar on?

pergunto isso pq no  Zoom Gallery beta, para poder funcionar o upload de imagens essa configuracao precisa estar ON (bom foi isso que eu entendi no meu ingreis arrastado no site oficial do zoom..rsrsrs)

Poderiam me orientar?

Valeu.

User avatar
bigodines
Joomla! Hero
Joomla! Hero
Posts: 2237
Joined: Thu Aug 18, 2005 11:10 am
Location: Floripa, Brazil
Contact:

Re: Register global

Post by bigodines » Wed Oct 24, 2007 2:36 pm

Register Globals é um recurso que foi inserido no PHP 4.2.0 que possiblita que $_POST['alguma_coisa']  seja acessado simplesmente como $alguma_coisa. O que no início parecia ser uma grande melhora na vida dos programadores, logo se tornou um pesadelo porque por exemplo (retirado de: http://br.php.net/manual/en/security.re ... lobals.php)

Code: Select all

<?php
// define $authorized = true only if user is authenticated
if (authenticated_user()) {
    $authorized = true;
}

// Because we didn't first initialize $authorized as false, this might be
// defined through register_globals, like from GET auth.php?authorized=1
// So, anyone can be seen as authenticated!
if ($authorized) {
    include "/highly/sensitive/data.php";
}
?>
se alguém passar index.php?autorized=true pela url, irá conseguir acessar uma área restrita, independente de estar validado ou não pois irá sobreescrever a variável que só seria setada como verdadeira no caso de validação positiva.

90% dos sites hackeados com joomla foram hackeados porque estavam com register_globals ON e algum componente bugado.

User avatar
fititnt
Joomla! Hero
Joomla! Hero
Posts: 2350
Joined: Sat Jul 15, 2006 1:41 am
Location: Porto Alegre - RS - Brazil
Contact:

Re: Register global

Post by fititnt » Thu Oct 25, 2007 4:30 am

Bem lembrado. Ainda bem que a maioria absoluta dos componentes mais usados não usa RG ON. Isso certamente ajuda e muito a evitar ataques nos últimos tempos.

É bom sempre deixar isso em mente do perigo de deixá-lo ativado. Pode não dar nada, mas pode dar. Quem deixa já deve ficar proparado piscologicamente para alguma coisa, e não culpar o joomla em si por negligência própria. Mas em casos específicos por não ter opção melhor acaba-se deixando ativado mesmo.

Tá adicionado ao FAQ, e vou ver se adiciono outros tópicos em breve.
Emerson da Rocha Luiz
Moderador aposentado, 2008-2014 | Membro do JUGRS
http://www.fititnt.org

LORIVAL LEITE
Joomla! Fledgling
Joomla! Fledgling
Posts: 1
Joined: Tue Aug 09, 2011 2:48 pm

Re: Register global

Post by LORIVAL LEITE » Tue Aug 09, 2011 2:54 pm

Como deixa em off para maior segurança do site joomla ??
Fico no aguardo estou com o joomla a pouco tempo.

ABRAÇOS

teoteoteo1
Joomla! Fledgling
Joomla! Fledgling
Posts: 1
Joined: Tue Feb 14, 2012 2:44 am

Re: Register global

Post by teoteoteo1 » Tue Feb 14, 2012 2:51 am

Caso tenha a necessidade de desabilitar a register global você poderia estar fazendo ela via .htaccess.

Incluindo a seguinte linha no seu arquivo .htaccess

php_value register_globals off

Verifique antes se o seu servidor já não o fez.

crie um arquivo com o seguinte código para verificar.

<?php
phpinfo();
?>

Acesse o arquivo e verifique qual o status da sua resgister global.



---------------------------------------------------------------------------------
Leonardo F. Costa
www.fasim.com.br/scripts
---------------------------------------------------------------------------------


Locked

Return to “Segurança”