Register_globals [z opinii o i365.pl]

[PeterRiley 0]

Zainteresowałem się tą ofertą po pochlebnych opiniach na forum i dopytałem ich o kilka rzeczy.

Napisali mi, że nie ma możliwości globalnego ustawienia parametrów php na koncie. W standardowych opcjach są u nich takie kwiatki jak register_globals=On i nie dają możliwości zmiany tego ani w php.ini (jak np. superhost) ani .htaccess (jak np. webd).

 

Reszta tutaj:

http://don.i365.pl/phpinfo.php

http://don.i365.pl/phpinfo.php5

 

Jak dla mnie to całkowita dyskwalifikacja.

[patryk 451]

A z jakiego powodu?

http://home.pl/files/phpinfo.php - też maja włączone register globals, rozumiem, że ich wszyscy klienci to kretyni?

 

Akurat co by o tym phpinfo nie mówić, to nawet najnowszy kernel mają, kiedy 80% dużych providerów CPanelowych jedzie na cudach, które można obecnie rozwalić jednym exploitem..

[koliber2 0]

takie sa skutki niewiedzy. Czlowiek czyta na roznych forach roznych skryptow (mambo,joomla itp skrypty typu upload,install i masz) ze registar_globals mus byc off. Niektorzy jednak po pewnym czasie dochodza do wniosku, ze wcale

register_globals=On

nie jest czyms zlym. Coz, niektorym to trudno dogodzic.

 

Pozdro,

Tomasz

[patryk 451]

Niestety, ovh i livenet też popełniają ten kardynalny błąd ;-).

 

http://90plan.ovh.net/test.php5

http://odi.livenet.pl/phpinfo.php

 

No cóż. Ale może Peter nam wyjaśni o co chodzi .

[PeterRiley 0]

@patryk: Ale moze home.pl dopuszcza zmiane tego parametru indywidualnie przez uzytkownikow? Nic nie mam przeciwko takiej opcji jako default (tak jest na wiekszosci hostingow) pod warunkiem umozliwienia uzytkownikom jej zmiany (tak tez jest na wiekszosci hostingow).

 

@koliber2: Widze, ze Ty nie czytasz for roznych skryptow, moze dlatego ze masz problemy z czytaniem ze zrozumieniem, a zamiast tego wyskakujesz z obrazaniem innych? Akurat nie uzywam zadnych gotowych systemow. Nie chce mi sie dyskutowac tutaj czy register_globals jest czyms zlym czy nie, jak Ty czytales strony ktore to zalecaja to sobie stosuj u siebie. Widze, ze robisz za chcacego naprawiac swiat proroka ze sklonnoscia do reakcji na konkretne frazy w tekscie (register_globals) niezaleznie od kontekstu. Co do niewiedzy - wiem, do czego sluzy ta opcja i chce ja wylaczyc, jak pewnie wiekszosc uzytkownikow. Proste?

 

Mi chodzi o to, ze w i365 nie mam mozliwosci wlasnorecznego dobrania podstawowych parametrow php. Register_globals to jedna z nich, ale przeciez sa i inne. Oczywiscie, mozna sobie z tym poradzic, ale to znacznie utrudnia prace. Z tego co widzialem korzystajac z uslug innych firm, mozliwosci zmiany tych ustawien przez lokalne php.ini czy .htaccess to standard, zdziwil mnie wiec brak takiej mozliwosci w i365 i dlatego o tym pisze.

[koliber2 0]

Panowie- o czym teraz dyskutujemy? O tym ze registar_ w i365.pl jest ON? Wielu dostawocow tak ma i problemu nie ma. Kwestie ustawien serwera pozostawmy jednak specjalistom ktorzy wiedza co robia. Jak sie chce miec wlasna konfiguracje to co za problem- vps lub dedyk.

 

pozdro

Tomek

[PeterRiley 0]

Panowie- o czym teraz dyskutujemy? O tym ze registar_ w i365.pl jest ON? Wielu dostawocow tak ma i problemu nie ma.

Tak ma, ale umozliwia zmiane. Nie chodzi tylko o te opcje, to przyklad.

 

Kwestie ustawien serwera pozostawmy jednak specjalistom ktorzy wiedza co robia.

Nie zgodze sie. To nie jest opcja serwera, tylko php. Jest troche opcji w konfiguracji php, ktore wygodnie jest moc dostosowac do wlasnych potrzeb, a nie zostawiac "specjalistom", ktorzy czesto akurat na polu php (a czasem i na innych polach) poruszaja sie gorzej od nas. Inne firmy to rozumieja i pozwalaja dostosowac te ustawienia za pomoca php.ini lub .htaccess. Robilem strony dla roznych firm, korzystalem z roznych hostingow, ale z takim czyms spotykam sie pierwszy raz. Albo mialem szczescie, albo po prostu praktyka i standardem jest dopuszczenie konfiguracji przez uzytkownika podstawowych opcji php.

 

Jak sie chce miec wlasna konfiguracje to co za problem- vps lub dedyk. Zamiast krytykowac (bo tak najlatwiej) moze przydalby sie test konta? Moze jednak mozna zmieniac? Ktoz to wie..

Kupowac dedyka tylko po to, zeby miec mozliwosc zmiany kilku prostych opcji w php? Na szczescie nie ma takiej potrzeby, bo takie podejscie do klienta firmy hostingowej odchodzi w przeszlosc.

Jak wspomnialem wczesniej, i365 wprost napisał mi, że nie mozna zmieniac tych ustawien.

[michalpc 0]

Nie ma chyba sensu nad tym dyskutować.

 

A wg. mnie jeżeli ktoś z firmy tak powiedział to pewno obecnie tak jest.

 

PeterRiley może dla Ciebie to "klika prostych opcji" ale trzeba też powiedzieć że nieumiejętnie posługujący się nimi klient może sobie zepsuć konto, a w skrajnych przypadkach zaszkodzić innym.

 

Mam resellera i zdarza się że pisze do mnie Klient mam błąd 500 na koncie co się dzieje. A co się okazuje właśnie robiąc nieodpowiednie wpisy np mod_rewrite "się zrobiło".

 

Z doświadczenia wiem, że praktycznie nigdy nie zmienia się takich parametrów, mnie nigdy nie było to potrzebę.

 

Jestem zadowolony z działania serwera i obsługi supportu.

 

A przecież to nie serwer się ustawia pod skrypt tylko skrypty powinny być na tyle umiejętnie napisane aby działały na każdym serwerze.

[Gość normanos]

dzieki bogu w PHP6 nie bedzie w ogole takich potworkow jak register_globals i skonczy sie dzien dziecka dla nieudolnych programistow.

 

Prawda jest taka, ze to php team z***al z wypuszczeniem takiej niedorobionej piątki, a wczesniej pozwalajac na register_globals.

 

a hostingowcy? coz, chca sie dostosowac do wiekszosci i chca uniknac milionow telefonow typu "dlaczego moj syfiasto napisany skrypt nie działa". trudno im sie dziwic.

[PeterRiley 0]

dzieki bogu w PHP6 nie bedzie w ogole takich potworkow jak register_globals i skonczy sie dzien dziecka dla nieudolnych programistow.

To ciekawe po jakim czasie od publikacji doczekamy sie tej wersji w hostingu, eh.

 

a hostingowcy? coz, chca sie dostosowac do wiekszosci i chca uniknac milionow telefonow typu "dlaczego moj syfiasto napisany skrypt nie działa". trudno im sie dziwic.

To jasne, niech sobie ustawiaja register_globals=on, byleby dali mozliwosc indywidualnego wylaczenia.

[maniack 403]

To jasne, niech sobie ustawiaja register_globals=on, byleby dali mozliwosc indywidualnego wylaczenia.

 

heh, każdemu nie dogodzisz

[PeterRiley 0]

heh, każdemu nie dogodzisz

No wlasnie chodzi o to, ze jak dasz mozliwosc indywidualnej zmiany parametrow, to kazdy ustawi jak bedzie chcial i wszyscy beda zadowoleni.

[shive 0]

Co nie zmienia faktu, że defaultowo powinno być ustawienie bezpieczne/logiczne/sensowne, czyli off. Jak ktoś już ma totalnie badziewny skrypt i koniecznie musi mieć on to wtedy sobie włączy.

[PeterRiley 0]

Co nie zmienia faktu, że defaultowo powinno być ustawienie bezpieczne/logiczne/sensowne, czyli off. Jak ktoś już ma totalnie badziewny skrypt i koniecznie musi mieć on to wtedy sobie włączy.

Tak, ale znajac realia mozna zrozumiec to ich defaultowe "on". Widze, ze sam dzwiek "register_globals" porusza tu jakas wrazliwa strune i zostalem zle zrozumiany. Niech sobie bedzie defaultowo on, byleby mozna bylo to, jak i inne opcje, zmienic.

[patryk 451]

Kochani, ja cały czas czekam na wytłumaczenie, i to nie takie z czasów PHP 3, Apache 1.3.27 i kernela 2.2 tylko z czasów Apache 2.2, mod_security, open_basedir protection i suexecka dotyczące tego dlaczego włączone register globals jest złe..

 

Ale może do tego wartoby wydzielić osobny temat??

[shive 0]

Jest złe bo uczy złych nawyków i niedbałości w pisaniu kodu. Początkującym utrudnia wejście w temat bezpieczeństwa i pozwala im olewać dobre praktyki, co jest przyczyną pewnie 3/4 luk w skryptach. Jak wyłączysz to w żaden sposób nie będziesz miał mniej wygodnego pisania, a zyskujesz dużo: spokojną głowę przy ewentualnych głupich błędach, przejrzystość, jasność tego co piszesz.

[patryk 451]

Ok. Nadal jednak nie dowiedziałem się co jest dyskwalifikującego w pozostawieniu tej opcji włączonej na serwerze shared w celach kombatybilnościowych - chociażby po to, żeby ulubiony przez wszystkich (l)userów świata OsCommerce działał dobrze.

 

Tak jak napisał Normanos - pewne założenia w PHP są złe od samego początku, a to o czym pisze Peter Riley (zezwolenie na ustawianie zmiennych w php.ini przez usera) to jest dopiero proszenie się o kłopoty i to znacznie większe w przypadku niewprawnego usera, niż włączone register globals, które jeśli serwer jest odpowiednio skonfigurowany co najwyżej doprowadzą do deface'u skryptu usera w typie "moja pierwsza księga gości", choć szczerze wątpię, że komukolwiek będzie się chciało w to bawić..

 

P.S. Nadal optuje za rodzieleniem tego tematu.

[Gość normanos]

patryk: jest niebezpieczne. ty patrzysz od strony zabezpieczen serwera - ze i tak nic sie nie stanie. a popatrz od strony bezpieczenstwa danej aplikacji. uzywanie zmiennych globalnych stwarza pole do popisu na wrzucenie danych innym sposobem niz one sa oczekiwane. i moze twojemu super zabezpieczonemu serwerkowi nic sie nie stanie, ale dana aplikacja moze zostac "wykrzaczona"

[hyhyhy 0]

i moze twojemu super zabezpieczonemu serwerkowi nic sie nie stanie, ale dana aplikacja moze zostac "wykrzaczona"

to problem ma programista, nie patryk ;] Pozdr.

[shive 0]

We wspólnym interesie jest promowanie poprawnych praktyk i zapobieganie powstawaniu idiotycznie napisanych programów. Register_globals jest pomysłem złym z założenia i jak ktoś się przyzwyczaił to trudno, niech zmieni przyzwyczajenia.

[patryk 451]

Teraz za bardzo nie ma czemu zapobiegać - na tym etapie przypomina to walkę z dziurą ozonową..

[shive 0]

Gdyby w hostingu nie było takiej desperackiej próby włażenia w tyłek każdemu kto nie umie normalnie napisać skryptu to problem rozwiązał by się szybciej, niż przez blokowanie funkcji w PHP6, którego nawet jeszcze nie ma.

[patryk 451]

Gdyby w hostingu nie było takiej desperackiej próby włażenia w tyłek każdemu kto nie umie normalnie napisać skryptu

 

A ludzie oglądaliby na dvd tylko ambitne irańskie czarno-białe produkcje..

[shive 0]

Porównanie jak z koziej pupci wiesz co :]

[Gość normanos]

juz to widze jak wejdzie PHP6... pewnie nikt tego nie zainstaluje bo bedzie sytuacja gdzie: php4 ciagle jest podstawa, a php5 jest dodatkiem na cgi

 

@rusel: pytanie brzmialo "wytlumaczcie mi dlaczego" a nie "kto bedzie mial z tym wiekszy problem". pozniej beda maile do hostingu: weszli mi na panel i ukradli dane i przerzucanie odpowiedzialnosci kto tak na prawde zawinil ("programista" of coz).