Forum hostingu CBA.pl

Witam,
w tym artykule/faq porusze kwestie pisania skryptów php zgodnie z zasadami zalecanymi przez autorów owego języka w wersjach od 4.2.0. Otóż ze względów bezpieczeństwa twórcy php zalecają wyłączenie dyrektywy register_globals w pliku php.ini (plik konfiguracyjny php) tak jak postąpił administrator tego serwisu. I teraz odrazu nasunie się nam na myśl dlaczego ten administrator tak nam uprzykrza życie .. ?? Otóż postaram się to wyjaśnić na przykładzie : Widzimy standardowy skrypt autoryzacji użytkownika na stronie x . Oczywiście odbywa się on po wypełnieniu stosownego formularza. No i co z tego ?? Otóż php standardowo dla "wygody" programisty ma mechanizm zamiany wszystkich zmiennych[sesji,cook -ies,pochodzących z formularza] na zmienne globalne(czyli dostępne w całym skrypcie). Pomyślmy sobie co się stanie jeżeli ktoś sfałszuje adres naszej strony i wpisze www.xx.pl?$autoryzacja=1 ... Oczywiście odpowiedź jest prosta, zobaczy on "tajną" treść strony na pewno nie przeznaczoną dla niego. Jak zrobić żeby potencjalny agresor już tak nie zrobił ... ?? Dochodzimy więc do sedna sprawy, czyli sławnego register_globals = off; czyli mówiąc troche bardziej zrozumiałym językiem "wyłączenie" zmiennych globalnych. Jak wtedy "dostać" się do takiej zmiennej .. ?? W takim wypadku dostęp do zmiennych sesji etc .. jest możliwy za pośrednictwem tablic super globalnych takich jak :

$_GET[''] --> Dla zmiennych przesyłanych metodą GET
$_POST[''] --> Dla zmiennych przesyłanych metodą POST
$_SERVER[''] --> Dla zmiennych udostępnionych przez serwer www
$_SESSION[''] --> Dla zmiennych "sesyjnych"
$_COOKIE[''] --> Dla zmiennych cookies
$_FILES[''] --> Dla zmiennych opisująch upload -owany plik
$_ENV[''] --> Dla zmiennych środowiskowych

Czyli po zmianie nasz skrypt powinien wyglądać tak : Na koniec postaram się wyjaśnić co to są te tablice superglobalne ...
Przy wyłączonej dyrektywie register_globals wszystkie zewnętrzne dane przychodzące do naszego skryptu są sortowane i przydzielane do odpowiednich tablic asocjacyjnych, czyli naszych tablic superglobalnych. Dlaczego nazywają sie superglobalne ?? Oczywiście sprawa jak zwykle idzie o zasięg zmiennych. Otóż są one dostępne w całym skrypcie.

Dlaczego więc autorzy tak dbajać o nasze bezpieczeństwo naszych skryptów dodali dyrektywe register_globals ??
Otóż dodali oni po to aby zachować zgodność ze starszymi skryptami i dać autorom tych skryptów czas do przemyśleń to (to ja już sobie sam dopowiedziałem). Dyrektywa ta jest domyślnie wyłączona(nieaktywna) czyli register_globals = off;

EDIT:
Zapomniałbym o przykładach w końcu z przykładów człowiek najlepiej się uczy. Wyobraźmy sobie, że wielka firma zleca p. Kowalskiemu napisanie "skryptu strony" opartego o funkcje include() , czyli np. po nadaniu odpowiedniej wartości zmiennej przekazywanej metodą GET powinna nam się ujrzeć odpowiednio includ -owana treść lub wykonany kod. Odrazu więc pan Kowalski zabierze się do pracy pisząc coś takiego : Zadowolony "informatyk" włącza swój interpreter php wbudowany do swojego nowo zainstalowanego apach -a i ku wielkiemu zdziwieniu przy naciśnięciu na każdy odnośnik wraca do strony głównej. Przez następne pół dnia zachodzi w głowe co jest nie tak przecież wszystkie skrypty "śmigają" normalnie na serwerze firmy. Po długich trudach i "przekopaniu" x for dochodzi do zagadnienia jakim jest dyretkywa register_globals w php.ini.
Odrazu więc niczym szalony poprawia skrypt na zgodny z zaleceniami autorów php, czyli :

EDIT 2 :
Postanowiłem dodać jeszcze troche przykładów.

Przykład nr. 2 : ¬LE - powyższy przykład jest źle napisany
DOBRZE - powyższy przykład jest dobrze napisany

Przykład nr.3 ¬LE - powyższy przykład jest źle napisany
DOBRZE - powyższy przykład jest dobrze napisany


Dla dociekliwych :
http://wiki.php.pl/index.php/Czemu_nie_ ... gradzie%3F
http://pl2.php.net/manual/pl/language.v ... .scope.php
http://pl2.php.net/manual/pl/language.v ... efined.php
http://php.faq.pl/klucz/global
http://forum.webhelp.pl/faqforum.php?f=1#34

Poprawki : Gacek , rzymek01

W razie pytań prosze nie pisać nowych postów pod tym FAQ lecz porozumieć się ze mną za pomocą PW, ponieważ robi się to nie czytelne a chyba nie o to chodzi.

swpok pisze:

Kod: Zaznacz cały

// Formularz by Jan Kowalski
if($_POST['autor'] && $_POST['wpis']) 
{
// kod właściwy księgi gości
}
else
{
echo '<form method="post" action="">
<input type="text" name="autor" /><br />
<textarea name="wpis"></textarea></form>';
&#125;
 

przy pierwszej odsłonie strony lub wtedy, kiedy nie zostaną wysłane dane $_POST, powyższy przykład wyświetli błąd (na niektórych konfiguracjach serwera takie błędy się nie wyświetlają - wtedy można na początku dokumentu dać `error_reporting(E_ALL);`). Aby tego uniknąć należy, a wręcz trzeba stosować funkcje typu empty(), !empty(), isset(), !isset(), a także w szczególności przy formularzach w należy używać funkcji typu is_numeric(), is_array(), is_bool() w celu sprawdzania poprawności danych.

Poprawna forma: Wszystkie podane tu funkcje są opisane na `php.net` (jest tam więcej funkcji typu is_*)

Heh, brawo dla tego pana [;
Parser przy konfiguracji E_ALL, rzeczywiście wyświetli błąd. Dzieje się tak dlatego, że nie zdenifiowaliśmy wcześniej wartości dla tego klucza w tablicy superglobalnej.
Tak apropos to nie wiedziałem że !empty() i !isset() to oddzielne funkcje . Przecież to najzwyklejsza w świecie negacja, a że twórcy PHP tak pozwolili ją pisać to może ktoś wziąść to za funkcje. Chyba, że miałeś coś innego na myśli.

Podsumowując plus ci się należy jak najbardziej.

oczywiście, że nie istnieje funkcja !empty tylko empty, ale piszę tak w skrócie - uważam, że każdy wie o co chodzi

Witam

Dopiero zaczynam przygodę z PHP. I właśnie mam problem tymi zmiennymi globalnymi.
Otóż na swoim domowym serwerze mam następujący kod:

Na 1 stronie mam wypisanie wszystkich danych z SQL, podam kluczowy dla sprawy kod:
Podaje do linku id_numer wartość.

Na stronie 2 mam:
I potem dalej wyświetlanie informacji.

Na moim serverze działa, na CBA już nie. Sprawdziłem że na CBA $id nie ma wartości żadnej czyli link z parametrem nie przekazuje. Wyczytałem że to wina zmiennych globalnych. Ale np. CMS php fusion też używa tego sposobu co ja i działa:|

Na stronie nie mam formularzy więc metody POST i GET odpadają.

Moje pytanie brzmi:

1. Czy mogę włączyć zmienne globalne dla swojej strony?

2. Jeśli nie to jak mam przekazać parametr linkiem do 2 strony?


Kod dawaj w [code], a nie w [quote]![/color]

1. Nie.
2.

IAHHAHA działa, thx:D

Ale z drugiej strony nie mam sie co cieszyć:|

Odwieczne pytanie:
Dlaczego?

Ja sie dopiero uczę php(umiem C++/WinApi) i myślałem że tablica $_GET[''] tworzy sie kiedy ktoś w zrobi formularz i zastosuje w nim metodę GET.

Nauka to zrozumienie, a nie zrobienie, więc możesz mi wytłumaczyć średnio fachowym językiem?

metoda GET pozwala Tobie na przekazywanie zmiennych i ich wartosci poprzez adres url a nie koniecznie przez formularz. To metoda POST jest stworzona dla formularzy.

I wszystko jasne.

Bardzo dziękuję za pomoc, bez ciebie bym całą noc myślał jak to zrobić:D

rzymek01 pisze: należy, a wręcz trzeba stosować funkcje typu empty(), !empty(), isset(), !isset()[/b]... w celu sprawdzania poprawności danych.

gwoli scislosci.Te dwie f. nie sa takie same.czesto mylnie brane jako to samo

$strona = $_GET['strona'];

to jest błąd trzeba najpierw sprawdzić czy istnieje to GET
najlepiej skorzystać z zmiennej warunkowej


$zmienna = warunek ? prawda : fałsz;

przykład


$strona = isset($_GET['strona']) ? $_GET['strona'] : ''

nie ma błędów

Stosowanie $_GET ma tą wade że czasem pojawia się potrzeba zmiany np metody w formularzu. Bezpieczniej jest stosować $_REQUEST

a co do sprawdzania czy zmienna jest to zawsze można zrzutować na string i tez działa

BTW czy wie ktoś czemu import_request_variables zostało wyłączone przez zespół PHP?

jak archeologiści reklamują swoje stopki

owszem można użyć czegoś takiego

$temp = $_REQUEST['s'];

lub inaczej:

if (isset($_GET['s'])) {
$temp = $_GET['s'];
}
else {
$temp = $_POST['s'];
}

Dzień dobry. Bardzo ciekawi mnie jak to wszystko działa. Jaka jest kolejność wykonywanych czynności i jakie jest prawdopodobieństwo popełnienia błędu, który rzutuje później na efekty końcowe. Czy ktoś coś wie?

____________________
Zajrzyj na naszą ofertę cegła klinkierowa super oferta!