Study Area Facebook粉絲團http://www.facebook.com/sataiwan
0 會員 與 1 訪客 正在閱讀本文。
請各位大大幫幫忙...想請教關於register_globals = on 開放後安全性問題這是公司之前請別人寫的php程式,有購物車功能對方說要開放register_globals = on 才行,但是我對PHP程式不熟,我只知道開放register_globals = on 有危險。以下是對方回覆信件的內容,可否請各位大大幫忙,是否正確?--------------------------------------------您好 非常抱歉本系統使用的是與 OSCommerce 類似的語法這是目前全球市場率最高的OSCommerce軟體都需要啟用register_globals = on 但本系統只採用session而未採用globals variable因此不會有globals變數被遠端攻擊的問題ps.那是因為原先的Linux設計,是將session的暫存資料置於/tmp,而/tmp是所有人都可以存取,internet也可以喔ps.您那台機器的session是置於/var/lib/php/session 下,只要限制不被非法區域存取就不會有問題 本系統只是啟用register_globals = on 讓 session可寫入 Linux內安全的暫存區所謂安全的暫存區係指internet無法存取的暫存區 如果不用session而改用cookie那麼問題會更多,例如,使用者如果不啟用cookie那購物車就會動不了 如果改用post或get 那駭客攻擊就會更?#91;容易ps.遠端猜就可以,還不用進入您的新機 linux系統的預設警告是說要用register_globals = on 是可以不過要避免暫存區被「溢位攻擊」基本上,如果學過作業系統都知道,任何系統都需要暫存區以進行運算與運作只是要懂得保護它 例如:把暫存區換位置或者把session.name = PHPSESSID 改名字 此外,我在每個重要的form內,有偷偷藏了隱藏變數,要寫入資料庫,要先猜到那個變數,再猜到那個值,而且也要猜到session的變數與session的值,如果真的猜得到,那root的密碼早就被猜到了 這可是比OSCommerce安全 其實,還有可以更安全的絕招那就是把root更名,再建一個只有一般權限的假root 那最算會被入侵,它也動彈不得 ps.一般而言,那它一定是內賊 所以無需改寫非常抱歉--------------------------------------------
簡單的說,因為懶得改,因為寫CODE的人不想修改之前的模組....
引述: "日京三子"簡單的說,因為懶得改,因為寫CODE的人不想修改之前的模組....其實也很難說是誰的問題.因為... 由以前的經驗來看, 有很多人客都認為花錢買了之後, 後續的修改都應該是免費的...
這案子還沒核銷耶~~~我應該可以要求吧~~