LINUXSOFT.cz Přeskoč levou lištu
Uživatel: Heslo:  
   CZUKPL

> PHP (90) - Poťouchlé konfigurační volby

Neboli proč si musíte dávat pozor na údaje v php.ini

12.1.2005 15:00 | Petr Zajíc | Články autora | přečteno 24930×

Komerční sdělení: Pořádáme Kurzy PHP

Pojďme se podívat na to, jaké nejčastější problémy související s konfigurací PHP nás mohou potkat. Uvidíte, že to může být poměrně zábavné a že odlišné nastavení mohlo a může způsobit zajímavé věci. Ale popořadě.

Register_globals

Asi nejpopulárnější volba php, nebo aspoň v minulosti nejdiskutovanější je bezesporu register_globals. Pokud je nastavena na ON, tedy zapnuto, jsou automaticky proměnné z polí $_GET[], $_POST[] a $COOKIE[] k dispozici jako globální. Malá ukázka to osvětlí; dejme tomu, že příklad níže je uložen ve skriptu test.php a volán jako test.php&id=5:

echo "Register_globals je nastaveno na: ".ini_get('register_globals')."<BR>\n";
echo
"Pomocí pole \$_GET je vždy k dispozici: ".$_GET["id"]."<BR>\n";
echo
"Jako globální proměnná: ".$id."<BR>\n";

Jestliže bude v php.ini register_globals ZAPNUTO, bude výstup tento:

Register_globals je nastaveno na: 1
Pomocí pole $_GET je vždy k dispozici: 5
Jako globální proměnná: 5

Jestliže však bude v php.ini register_globals VYPNUTO, bude výstup tento:

Register_globals je nastaveno na:
Pomocí pole $_GET je vždy k dispozici: 5
Jako globální proměnná:

Jak tedy vidíte, je v případě zapnuté volby register_globals proměnná $_GET["id"] k dispozici i jako $id.

Pozn.: Pokud si to chcete vyzkoušet doma, budete mezi jednotlivými spuštěními skriptu muset upravit soubor php.ini. Pokud vám běhá php jako modul serveru Apache, budete muset navíc ještě restartovat Apache, a to z toho prostého důvodu, že php.ini se v takovém případě načítá pouze při startu webového serveru.

Možná si kladete otázku, proč je kolem toho takový randál? Není to snad poměrně jasné? Rámus kolem této konfigurační volby vznikl ve třetím čtvrtletí roku 2000, kdy byla vydána verze PHP 4.2.0. Tato verze totiž (a později každá následující) jakožto výchozí volbu po instalaci PHP poprvé nastavila register_globals na VYPNUTO. Uživatelům, kteří spoléhali na automatickou registraci proměnných (to je ten PRVNÍ z případů výše), tak rázem přestaly fungovat některé skripty.

Byla to vzrušující doba. Jedni reagovali obviňováním autorů PHP, jiní nahlašovali chybu do bugreportů, další požadovali ihned globální proměnné zpět ZAPNOUT a ještě jiní uvažovali o přechodu na jiný jazyk, protože tohle pro ně bylo prostě příliš...

Pozn.: Dnes je situace taková, že na "klasických" hostinzích budete mít nejspíš register_globals vypnuté s tím, že na požádání vám ji zapnou. Chtít to zapnout je ale velmi špatný nápad, viz níže.

Fakt je, že autoři PHP měli ke změně výchozího chování programu poměrně pádné důvody. Ze stejných důvodů byste měli psát skripty tak, aby fungovaly BEZ nutnosti registrace globálních proměnných. Takže, ty důvody jsou dva:

  1. Výkonový - Jestliže skript musel zaregistrovat proměnné jako globální, zabralo to pochopitelně nějakou dobu, která by jinak mohla být věnována dalšímu zpracování skriptu. Vypnutím register_globals to už nebylo nutné a PHP tedy reaguje v takovém případě rychleji.
  2. Bezpečnostní - Se zapnutými register_globals se dá poměrně snadno útočit na webové stránky. Jestliže například víte nebo tušíte, že skript cosi.php používá proměnnou isadmin, a na serveru jsou zapnuty register_globals, můžete se pokusit zaútočit pomocí url cosi.php?isadmin=1 a doufat, že podstrčená proměnná skript zmátne. S vypnutými register_globals to fungovat nemusí.

Pozn.: To neznamená, že skripty v prostředí, kde je zapnuto register_globals jsou všechny nebezpečné. Spíše je to tak, že se musejí přísněji kontrolovat. Rovněž to neznamená, že po vypnutí register_globals budou vaše skripty v bezpečí. Jen toto konkrétní riziko je menší. Na serveru PHP je o tom celém pěkné pojednání.

Pozn: Popsanými potížemi naštěstí nejsou ovlivněny proměnné $_SESSION. Ty se totiž zpracovávají jinak.

Moje doporučení je: register_globals VYPNOUT a psát skripty tak, aby fungovaly i bez něj i s ním.

variables_order

To je částečně související problém s tím prvním. Jestliže byly zapnuty register_globals a dvě proměnné by "padly" do stejné globální proměnné (například $_GET["id"] a $_COOKIE["id"]), která to vyhraje? To je ovlivněnou volbou variables_order v php.ini. Ta bude nejspíš vyjádřena pětipísmennou zkratkou ve stylu "EGPCS", kde jednotlivá písmena znamenají:

  • E - pole $_ENV
  • G - pole $_GET, tedy proměnné z URL
  • P - pole $_POST, tedy proměnné z formulářů
  • C - pole $_COOKIE, tedy proměnné z uložených cookies
  • S - pole $_SERVER, tedy informace o samotném serveru, který soubor zpracovává

Znamená to, že při konfliktu globálních proměnných bude přiřazena do globální proměnné hodnota z toho pole, které je v seznamu později, tedy více vpravo.

Možná si kladete otázku: "Proč se tím zabývat - když se přece nebudou používat globální proměnné, tak se nic nemůže stát?" Stát se může, a to při použití pole $_REQUEST. Toto asociativní pole totiž bude obsahovat proměnné z GET, POST i COOKIES. A pokud budou názvy kolidovat, použije k rozřešení právě konfigurační volbu variables_order.

Možností, jak to obejít je několik. Mezi nejznámější patří:

  • Vůbec nepoužívat pole $_REQUEST a používat namísto toho pole $_GET, $_POST a $_COOKIE.
  • Nastavit si chování volby variables_order podle svých potřeb v každém skriptu pomocí ini_set. To půjde, protože variables_order patří zrovna mezi ty volby, které můžete individuálně nastavovat.
  • Důkladně testovat data, predaná pomocí $_REQUEST, což je ostatně vždy žádoucí.

Pozn.: Opět platí, že proměnné $_SESSION nejsou ovlivněné pořadím předávání proměnných a tudíž nemohou být přepsány. V praxi to znamená, že jejich použití je poměrně bezpečné. Možná právě proto jsou tak oblíbené mezi programátory PHP stránek.

Moje doporučení je: Důkladně testovat data. Jinak se obecně použití pole $_REQUEST nevyhýbám protože mohou existovat situace, kdy data mohou dorazit jak pomocí metody POST, tak pomocí metody GET. Takže to v takovém případě zjednodušuje práci.

Příště se podíváme na zbytek konfiguračních voleb, které Vám mohou zatopit při tvorbě webových stránek.

Verze pro tisk

pridej.cz

 

DISKUZE

Nejsou žádné diskuzní příspěvky u dané položky.



Příspívat do diskuze mohou pouze registrovaní uživatelé.
> Vyhledávání software
> Vyhledávání článků

5.3.2017 19:12 /Redakce Linuxsoft.cz
PR: 23. března proběhne v Praze konferenci na téma Cloud computing v praxi. Hlavními tématy jsou: Nejžhavější trendy v oblasti cloudu a cloudových řešení, Moderní cloudové služby, Infrastruktura současných cloudů, Efektivní využití cloudu, Nástrahy cloudových řešení a jak se jim vyhnout.
Přidat komentář

27.2.2017 22:12 /František Kučera
Pozvánka na 137. sraz OpenAlt – Praha: Tentokrát jsme si pro vás připravili neobvyklou akci. Ve středu 1.3. v 17:30 nás přivítá sdružení CZ.NIC ve svých prostorách v Milešovské ulici číslo 5 na Praze 3, kde si pro nás připravili krátkou prezentaci jejich činnosti. Následně navštívíme jejich datacentrum pod Žižkovskou věží. Provedou nás prostory, které jsou běžnému smrtelníkovi nedostupné!
Po ukončení prohlídky se všchni odebereme do hostince U vodoucha, Jagelonská 21, Praha 3 pochutnat si na některém z vybraných piv či dát si něco na zub. Rezervaci máme od 19:30, heslo je OpenAlt.
Ale pozor! Do prostor datového centra máme omezený přístup, dostane se tam pouze 10 lidí! Takže kdo přijde dříve, ten má přednost, a občanky s sebou! Kdo nebude chtít na prohlídku datového centra, může se pomalu přesunout do hostince U vodoucha a u nepřeberné nabídky piv počkat na ostatní.
Přidat komentář

18.1.2017 0:49 /František Kučera
Členové a příznivci spolku OpenAlt se pravidelně schází v Praze a Brně. Fotky z pražských srazů za uplynulý rok si můžete prohlédnout na stránkách spolku. Příští sraz se koná už 19. ledna – tentokrát je tématem ergonomie ovládání počítače – tzn. klávesnice, myši a další zařízení. Také budete mít příležitost si prohlédnout pražský hackerspace Brmlab.
Přidat komentář

8.1.2017 17:51 /František Kučera
Máš rád svobodný software a hardware nebo se o nich chceš něco dozvědět? Přijď na sraz spolku OpenAlt, který se bude konat ve čtvrtek 19. ledna od 18:30 v pražském hackerspacu Brmlab. Tentokrát je tématem srazu ergonomie ovládání počítače – tzn. klávesnice, myši a další zařízení. K vidění bude mechanická klávesnice dasKeyboard, trackball Logitech nebo grafický tablet (a velký touchpad) Wacom. Přineste i vy ukázat svoje zajímavé klávesnice a další HW. V 18:20 je sraz před budovou, v 18:30 jdeme společně dovnitř, je tedy dobré přijít včas. Podle zájmu se později přesuneme do nějaké restaurace v okolí.
Přidat komentář

1.12.2016 22:13 /František Kučera
Máš rád svobodný software a hardware nebo se o nich chceš něco dozvědět? Přijď na sraz spolku OpenAlt, který se bude konat ve čtvrtek 8. prosince od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Sraz bude tentokrát tématický. Bude retro! K vidění budou přístroje jako Psion 5mx nebo Palm Z22. Ze svobodného hardwaru pak Openmoko nebo čtečka WikiReader. Přijďte se i vy pochlubit svými legendami, nebo alespoň na pivo. Moderní hardware má vstup samozřejmě také povolen.
Komentářů: 1

4.9.2016 20:13 /Pavel `Goldenfish' Kysilka
PR: Dne 22.9.2016 proběhne v Praze konference Cloud computing v praxi. Tématy bude např. nejnovější trendy v oblasti cloudu a cloudových řešení, provozování ERP v cloudu, o hostování různých typů softwaru, ale třeba i o zálohování dat nabízeném podnikům formou služby.
Přidat komentář

1.9.2016 11:27 /Honza Javorek
Česká konference o Pythonu, PyCon CZ, stále hledá přednášející skrz dobrovolné přihlášky. Máte-li zajímavé téma, neváhejte a zkuste jej přihlásit, uzávěrka je již 12. září. Konference letos přijímá i přednášky v češtině a nabízí pomoc s přípravou začínajícím speakerům. Řečníci mají navíc vstup zadarmo! Více na webu.
Přidat komentář

27.8.2016 8:55 /Delujek
Dnes po 4 letech komunitního vývoje vyšla diaspora 0.6.0.0
diaspora* je open-source, distribuovaná sociální síť s důrazem na soukromý
Více v oficiálním blog-postu
Přidat komentář

   Více ...   Přidat zprávičku

> Poslední diskuze

24.3.2017 11:54 / Hui
country cottages

16.3.2017 16:33 / BezvaDesign.cz
Re: Hledám grafika do teamu

9.3.2017 11:44 / Jaromir Obr
Re: chyba

18.1.2017 20:18 / martin horky
Spolupraca linuxu a microsoftu

17.1.2017 9:57 / Pavel Hrubeš
Re: Externí USB televizní karta

Více ...

ISSN 1801-3805 | Provozovatel: Pavel Kysilka, IČ: 72868490 (2003-2017) | mail at linuxsoft dot cz | Design: www.megadesign.cz | Textová verze