Comments on: Что я знаю о register_globals

By: Сергей Куракин

Сергей Куракин — Mon, 01 Feb 2010 22:59:49 +0000

Маргарита, это “шаманство” пишется в .htaccess файл в каталоге, который требуется закрыть от посторонних глаз.

order allow,deny
deny from all
allow from X.X.X.X

Где X.X.X.X это IP с которого доступ разрешён

By: Маргарита

Маргарита — Sat, 31 Oct 2009 12:56:08 +0000

Здравствуйте!!!пожалуйста помогите мне кто-нибудь запретить доступ к сайту с определённого IP.
Я вычитала что нужно ввести следующую комбинацию:
order allow deny
deny from all
denny from
но я не поняла куда это нужно вводить…
IP-адрес у меня есть
Надеюсь на Вашу поддержку

By: Виктор

Виктор — Thu, 27 Aug 2009 10:59:24 +0000

Как отключить register_globals ???

Создаешь htaccess.txt на рабочем столе и пишешь в нем:

php_flag register_globals off
php_value register_globals Off

сохраняешь и закачиваешь файл на сервер и переименовываешь его в .htaccess расширение .txt тоже убираем. Все готово теперь он откючен.

By: Сергей Куракин

Сергей Куракин — Sun, 08 Feb 2009 14:09:05 +0000

Сергей, который со мной категорически не согласен, рекомендую прочесть вот это: http://www.php.net/register_globals - с версии 4.2.0 их по умолчания выключили, с версии 5.3.0 они не рекомендуются (DEPRECATED), с версии 6.0.0 этой настройки вообще не будет и эта функция будет выключена Наверно не зря так поступили.

Так как сам лично я не раз взламывал сайты (во время аудита безопастности), у которых register_globals on и программисты пропускали защиту определённых мест - я по прежнему рекомендую всегда держать register_globals off.

Но каждый волен делать так, как ему кажется более логичным.

By: Сергей

Сергей — Sun, 08 Feb 2009 10:09:17 +0000

Категорически не согласен с автором. register_globals on - единственно логичное решение. Все мои проекты изначально разрабатываются именно под register_globals on.

By: Сергей Куракин

Сергей Куракин — Tue, 03 Jun 2008 06:01:22 +0000

Посмотрите в phpinfo() как установлен PHP. Внимательно смотрите на ключ “Server API” в первой таблице.

Если там написано Apache, то вам нужно в .htaccess писать php_value register_globals Off.

Если там написано CGI/FastCGI то попробуйте рядом с файлом положить php.ini и в нём написать register_globals = off.

Если не помогло, попробуйте тогда прмо в файле написать ini_alter(’register_globals’, ‘Off’);

Вообще, странно, что у вас register_globals по умолчанию включены.

By: wws53

wws53 — Mon, 02 Jun 2008 22:56:41 +0000

Попытка установить register_globals = off через .htaccess приводит к потере доступа к странице (500 Internal Server Error). Как и куда вставлять директиву для .htaccess?

By: Сергей Куракин

Сергей Куракин — Thu, 23 Aug 2007 07:30:39 +0000

Проверка там была $admin_id, а если у вас в начале скрипта нет её декларации и в сессии его нет, то она будет декларирована из GPC переменных.

Если у вас shared hosting и включены .htaccess - делайте через .htaccess; всё равно Apache будет их искать.
Если у вас CGI/FastCGI то через php.ini (если я не ошибаюсь) - тут лучше посоветоваться с админами.

Во всех других случаях - пишите админам.

By: lonelysoul

lonelysoul — Wed, 22 Aug 2007 21:30:05 +0000

Абсолютно согласен с автором. Глобальные переменные несут больше вреда, чем пользы. Пользуйтесь суперглобальными массивами.

Вопрос Автору: не совсем понял, как в примере с admin_id могла переменная, передающаяся через сессию, быть инициализирована через строку admin.php?admin_id=1?
По идее, если проверка на существование переменной проходила через _SESSION['admin_id'], то вышенаписанная строка никак на это не могла повлиять даже при включенных глобальных переменных!

Еще вопрос: как советуете лучше отключить глобальные переменные - самому с помощью .htaccess(в корне?) или письмом админам?