|
|
 |
CapÃtulo 29. Uso de Register Globals
Quizás el cambio más controversial en la historia de
PHP se ha dado cuando la directiva register_globals pasó
de tener como valor por defecto ON al valor OFF en PHP 4.2.0. La dependencia sobre
esta directiva era bastante común y muchas personas
nisiquiera estaban enteradas de que existÃa y
asumÃan que ese era el modo en que PHP trabajaba. Esta
página explicará cómo puede llegar a
escribirse código inseguro con esta directiva pero tenga en
mente que no es la directiva misma la que es insegura sino el uso
inapropiado de ella.
Cuando se encuentra activa, la directiva register_globals
inyectará sus scripts con todo tipo de variables, como
variables de peticiones provenientes de formularios HTML. Esto
junto con el hecho de que PHP no requiere la inicialización
de variables significa que es muy fácil escribir
código inseguro. Fue una decisión difÃcil,
pero la comunidad de PHP decidió desahibilar esta directiva
por defecto. Cuando está habilitada, las personas usan
variables sin saber con seguridad de dónde provienen y solo
queda asumir. Las variables internas que son definidas en el
script mismo son mezcladas con los datos enviados por los usuarios
y al deshabilitar register_globals se modifica este
comportamiento. Demostremos este caso con un ejemplo del uso
incorrecto de register_globals:
Ejemplo 29-1. Ejemplo del uso inapropiado de register_globals =
on |
<?php
if (usuario_autenticado()) {
$autorizado = true;
}
if ($autorizado) {
include "/datos/muy/importantes.php";
}
?>
|
|
Cuando register_globals = on, nuestra lógica anterior
podrÃa verse comprometida. Cuando la directiva está
deshabilitada, $autorizado no puede definirse a
través de peticiones, asà que no habrá
ningún problema, aunque es cierto que siempre es una buena
práctica de programación inicializar las variables
primero. Por ejemplo, en nuestro ejemplo anterior pudimos haber
realizado primero algo como $authorized =
false. Hacer esto representa que el código
anterior podrÃa funcionar con register_globals establecido
a on u off ya que los usuarios no serÃan autorizados por
defecto.
Otro ejemplo es aquel de las sesiones. Cuando register_globals =
on, podrÃamos usar
también $nombre_usuario en nuestro
siguiente ejemplo, pero nuevamente usted debe notar que
$nombre_usuario puede provenir de otros medios,
como GET (a través de la URL).
Ejemplo 29-2. Ejemplo del uso de sesiones con register_globals on u
off |
<?php
if (isset($_SESSION['nombre_usuario'])) {
echo "Hola <b>{$_SESSION['nombre_usuario']}</b>";
} else {
echo "Hola <b>Invitado</b><br />";
echo "¿Quisiera iniciar su sesión?";
}
?>
|
|
Incluso es posible tomar medidas preventivas para advertir cuando
se intente falsificar la información. Si usted sabe
previamente con exactitud el lugar de donde deberÃa
provenir una variable, usted puede chequear si los datos enviados
provienen de una fuente inadecuada. Aunque esto no garantiza que
la información no haya sido falsificada, esto requiere que
un atacante adivine el medio apropiado para falsificar la
información. Si no le importa de dónde proviene la
información, puede usar $_REQUEST ya que
allà se incluye una mezcla de variables que provienen de
datos GET, POST y COOKIE. Consulte también la
sección del manual sobre el uso de variables desde fuera de
PHP.
Ejemplo 29-3. Detección de envenenamiento simple de
variables |
<?php
if (isset($_COOKIE['COOKIE_MAGICA'])) {
} elseif (isset($_GET['COOKIE_MAGICA']) || isset($_POST['COOKIE_MAGICA'])) {
mail("admin@example.com", "Posible intento de intromision",
$_SERVER['REMOTE_ADDR']);
echo "Violación de seguridad, el administrador ha sido alertado.";
exit;
} else {
}
?>
|
|
Por supuesto, deshabilitar register_globals no quiere decir que su
código vaya a ser seguro. Por cada trozo de datos que sea
enviado por el usuario, éste debe ser chequeado en otras
formas. ¡Siempre valide los datos de los usuarios e
inicialice sus variables! Para chequear por variables no
inicializadas, usted puede usar
error_reporting() para mostrar errores del
nivel
E_NOTICE.
Para más información sobre la emulación del
valor On u Off de register_globals, consulte este FAQ.
Superglobals: Nota de
disponibilidad: Desde 4.1.0, están disponibles
algunas matrices superglobales tales como $_GET,
$_POST, y $_SERVER, etc. Para
más información puede consultar la sección
superglobals
 add a note
User Contributed Notes
Uso de Register Globals
php at paleocurrents dot com
20-Aug-2006 10:28
You guys have really inflated the concern about global variables. PHP has worked this way for years. Many applications depend on globals working this way! (And, globals OFF doesn't ensure security - as even recognized in this article.)
andrei dot neculau (0) gmail dot com
19-May-2006 09:54
If you have a webhost with register_globals On by default, and running PHP as CGI (not as an Apache module, when there might be some solutions) use the code bellow.
Explanation: it will first take all global variables, and unset everything that shouldn’t be there. Do not worry about your code still being accesible for changes (i.e. info.php?_ENV[OS]=NewOS ). The PHP queue works like this: first it registers variables from GET, etc. and then it fills in the global variables _GET, _POST, etc. (I wonder why they are not READ ONLY!) Therefore you will have the correct associative arrays, without any injected modification.
<?php
if (ini_get('register_globals'))
{
foreach($GLOBALS as $s_variable_name => $m_variable_value)
{
if (!in_array($s_variable_name, array('GLOBALS', 'argv', 'argc', '_FILES', '_COOKIE', '_POST', '_GET', '_SERVER', '_ENV', '_SESSION', 's_variable_name', 'm_variable_value')))
{
unset($GLOBALS[$s_variable_name]);
}
}
unset($GLOBALS['s_variable_name']);
unset($GLOBLAS['m_variable_value']);
}
?>
Full article here: http://andreineculau.wordpress.com/?s=register_globals
* the above code is not mine. I found it on the Internet, while I was looking for a solution.
alan at xensource dot com
15-Nov-2005 09:00
From the PHP Manual page on Using register_globals:
Do not use extract() on untrusted data, like user-input ($_GET, ...). If you do, for example, if you want to run old code that relies on register_globals temporarily, make sure you use one of the non-overwriting extract_type values such as EXTR_SKIP and be aware that you should extract in the same order that's defined in variables_order within the php.ini.
Dexter at dexpark dot com
06-Nov-2005 06:59
For Apache users or webhosters, you can set the
php_flag register_globals on/off in a VirtualHost context.
hbinduni at gmail dot com
30-Oct-2005 01:06
[quote]
If you're under an Apache environment that has this option enabled, but you're on shared hosting so have no access to php.ini, you can unset this value for your own site by placing the following in an .htaccess file in the root:
php_flag register_globals 0
[/quote]
adding php_flag in .htaccess under apache 2 will cause internal server error. according to apache 2 manual, php_flag should goes to <virtual> or <directory> section.
ramosa (0) gmail dotty com
24-Sep-2005 09:24
Here's a one liner that works both with register globals on or off, and is even secure enough when it's on, as you make sure you init the var.
Using the ?: operator
$variable = isset($_GET["variable"]) ? $_GET["variable"] : "";
argentus at ukr dot net
14-Aug-2005 02:04
I have found out a method which seems to me the best. I've written my own version of extract. It works as follows:
<?php
safe_extract($_POST, "post", array("param1", "param2"));
echo "param1 is <b>$post_param1_html</b><br />";
mysql_query("SELECT * FROM sometable WHERE something = '$post_param2_slashes'");
if($post_param1_unsafe != $post_param2_unsafe)
?>
I think it to be more convenient than using the required functions manually and more safe than that, and surely much more safe than register_globals = On.
The code is very simple. You can write your own version, of course, but I'll also show mine:
<?php
function make_variables($key, $value, $prefix)
{
$GLOBALS["{$prefix}_{$key}_unsafe"] = $value;
$GLOBALS["{$prefix}_{$key}_slashes"] = addslashes($value);
$GLOBALS["{$prefix}_{$key}_url"] = urlencode($value);
$GLOBALS["{$prefix}_{$key}_html"] = htmlspecialchars($value);
$GLOBALS["{$prefix}_{$key}_url_html"] = htmlspecialchars(urlencode($value));
}
function safe_extract($array, $prefix, $keys)
{
if(count(array_diff(array_values($keys), array_keys($array))) != 0)
return false;
foreach($keys as $key)
make_variables($key, $array[$key], $prefix);
return true;
}
?>
kcinick at ciudad dot com dot ar
18-May-2005 03:12
if you plan to use php_admin_value register_globals [0-1] inside <VirtualHost> in apache, forget it, it don't show any error messages in the configuration, but at the time of running, it enable and disables register_globals at random request, if you need to customize this param to multiple virtual host, put it in a <Directory> directives, it works fine there...
PD: same for safe_mode, etc...
ryanwray at gmail dot com
24-Nov-2004 07:03
In reply to ben at nullcreations dot net:
This is true of the super-global $_SESSION, as it will always be processed last (it is not considered in variables_order directive)
However, it is possible to over-write other data, namely GET, POST, COOKIE, ENVIROMENT and SERVER.
Of course, what you can overwrite will depend on the directive variables_order - by default, you could overwrite GET and POST data via COOKIE (because cookie data is processed last out of the three which should not really be of great concern.
My below code is irrelevant unless extract or another method which does the same thing (ie. I have seen variable variables used before to reach the same affect) is used.
ben at nullcreations dot net
22-Nov-2004 04:53
Just a note to all the people who think $_SESSION can be poisoned by register_globals - it can't.
Consider the fact that GET/POST/COOKIE is Processed *before* sessions are. This means that even if you have register_globals on, and they write to $_SESSION, $_SESSION will just get reset again with the appropriate values.
Some people take to using extract() as a means to simulate register_globals in scripts where they're not sure what the server environment will be - this is when you should worry about such things. The reason is because extract() can concievably occur after GET/POST/COOKIE and SESSION processing.
snarkles <anything at $myname dot net>
19-May-2004 12:06
If you're under an Apache environment that has this option enabled, but you're on shared hosting so have no access to php.ini, you can unset this value for your own site by placing the following in an .htaccess file in the root:
php_flag register_globals 0
The ini_set() function actually accomplishes nothing here, since the variables will have already been created by the time the script processes the ini file change.
And since this is the security chapter, just as a side note, another thing that's helpful to put into your .htaccess is:
<Files ".ht*">
deny from all
</Files>
That way no one can load .htaccess in their browser and have a peek at its contents.
Sorry, not aware of a similar workaround for IIS. :\
dav at thedevelopersalliance dot com
17-Dec-2003 10:38
import_request_variables() has a good solution to part of this problem - add a prefix to all imported variables, thus almost eliminating the factor of overriding internal variables through requests. you should still check data, but adding a prefix to imports is a start.
| |
| | Citas célebres | La belleza es verdad, la verdad es belleza, eso es todo lo que en la tierra sabéis, y todo lo que necesitáis saber. John Keats | | Citas en tu mail | | ©Contenidos Gratis |
| Chiste de... Animales | | Errores humanos |
El cazador novato, al guía:
- ¡Y cuál es el nombre científico del animal que acabo de abatir.
- Según creo "homo sapiens". | | Chistes en tu mail | | ©ContenidosGratis |
| Inicio | Acción | Estrategia | Palabras | Puzzles | Solitarios | Foro Trucos |  | Cake Mania
Jugadores: 6835
Categoría del juego: Acción
Objetivo del juego: Ayuda a Jill a recuperar la pastelería de su abuela llevando su propia pastelería; consigue clientes y gana dinero. |
|  | Rainbow Web
Jugadores: 2199
Categoría del juego: Puzzles
Objetivo del juego: Rompe un pegajoso hechizo y salva un reino de fantasía en Rainbow Web. Tendrás toneladas de diversión mientras juegas a este mágico desafío para la mente. |
|  | Mahjongg Fortuna
Jugadores: 12462
Categoría del juego: Solitarios
Objetivo del juego: Velocidad y habilidad mental son las armas más importantes en esta versión de un antiguo juego asiático. Despeja el tablero lo antes posible haciendo clic en las fichas iguales y gánate la fama eterna de la puntuación más alta. |
|  | Chainz 2
Jugadores: 6955
Categoría del juego: Puzzles
Objetivo del juego: Entra en el mundo de las combinaciones con Chainz 2: Relinked, emocionante secuela del exitazo del año pasado, Chainz. Gira eslabones y crea combinaciones de 3 ó más. |
|  | Delicious
Jugadores: 4405
Categoría del juego: Acción
Objetivo del juego: ¿Eres un as de la multitarea? ¿Quieres que tus clientes estén contentos? ¡Pues Delicious es tu juego! Sacia el apetito de los clientes y tenlos contentos; ¡no te arriesgues! |
|  | Bookworm
Jugadores: 4568
Categoría del juego: Palabras
Objetivo del juego: Junta las letras para formar palabras. ¡Las palabras más largas valen más puntos! |
|  | Zuma
Jugadores: 4976
Categoría del juego: Acción
Objetivo del juego: Controla el ídolo de la rana de piedra de los antiguos Zuma en este intrigante enigma de acción. ¡Dispara bolas para formar conjuntos de tres, pero si dejas que lleguen a la calavera dorada morirás! |
|  | Jewel of Atlantis
Jugadores: 3798
Categoría del juego: Puzzles
Objetivo del juego: Descubre la ciudad hundida de la Atlántida y busca valiosos tesoros. Viaja más allá de las profundidades del mar y vive trepidantes aventuras en Jewel of Atlantis. |
|  | Jewel Quest
Jugadores: 3727
Categoría del juego: Puzzles
Objetivo del juego: Convierte la arena de la antigua selva en oro tan rápido como puedas juntando grupos de 3 elementos. ¡Los grupos más grandes valen más puntos! |
|  | Bejeweled 2
Jugadores: 3659
Categoría del juego: Puzzles
Objetivo del juego: Con cuatro modos de juego únicos y fascinantes, nuevas piezas de juego explosivas e imponentes fondos planetarios, Bejeweled 2 es mucho más adictivo que nunca. |
|
|
