Nutnost $_POST $_GET

24. 2. 2009 22:21:35

Napsal afu;222889
Na začátek skriptu přidej následující:
foreach ($_REQUEST as $k=>$v) { eval('global $'.$k.'; $'.$k.' = "'.$v.'";'); }

Nebo lepe:

foreach ($_REQUEST as $k=>$v)

$$k = $v;

24. 2. 2009 22:21:35

https://webtrh.cz/diskuse/nutnost-_post-_get/strana/3#reply243063

znouza

24. 2. 2009 23:10:56

tfuj. strasny to je oboje. a kdyz uz $$k, tak ${$k}. A navic - tuten kod, cos napsal, tak neudela globalni promenny, jako ten eval. takze bud v foreach bude "global ${$k}=" nebo jeste lepe "$_GLOBALS = $v"...

24. 2. 2009 23:10:56

https://webtrh.cz/diskuse/nutnost-_post-_get/strana/3#reply243062

Vojta

(41 hodnocení)

24. 2. 2009 23:13:11

Napsal megi;223342
Nebo lepe:

foreach ($_REQUEST as $k=>$v)
$$k = $v;

Lépe jedině v případě, že se nepoužívají cookies, jinak je to hůře :)

24. 2. 2009 23:13:11

https://webtrh.cz/diskuse/nutnost-_post-_get/strana/3#reply243061

Jakub Stacho

(20 hodnocení)

24. 2. 2009 23:14:06

Vidím, že se z tohoto vlákna stala soutěž o největší prasárnu. Uvědomte si prosím, že to po vás budou číst i lidi, kteří programování psaní skriptů rozumí ještě míň, než vy.

24. 2. 2009 23:14:06

https://webtrh.cz/diskuse/nutnost-_post-_get/strana/3#reply243060

megi

(3 hodnocení)

24. 2. 2009 23:14:14

Napsal znouza;223372
tfuj. strasny to je oboje. a kdyz uz $$k, tak ${$k}. A navic - tuten kod, cos napsal, tak neudela globalni promenny, jako ten eval. takze bud v foreach bude "global ${$k}=" nebo jeste lepe "$_GLOBALS = $v"...

$name = 'x';

$$name = 'y';

var_dump($x);

var_dump($GLOBALS);

24. 2. 2009 23:14:14

https://webtrh.cz/diskuse/nutnost-_post-_get/strana/3#reply243059

Vojta

(41 hodnocení)

24. 2. 2009 23:21:45

Napsal tracy;223374
Vidím, že se z tohoto vlákna stala soutěž o největší prasárnu. Uvědomte si prosím, že to po vás budou číst i lidi, kteří programování psaní skriptů rozumí ještě míň, než vy.

A? Je to vlákno pro rychlé vyřešení jednoho problému nebo pro poučování nad tím k čemu jsou register globals off? Tak sem pošlete neprasácké řešení vyjma vypnutí via .htaccess a bude klid :)

24. 2. 2009 23:21:45

https://webtrh.cz/diskuse/nutnost-_post-_get/strana/3#reply243058

megi

(3 hodnocení)

24. 2. 2009 23:22:06

Napsal afu;223373
Lépe jedině v případě, že se nepoužívají cookies, jinak je to hůře :)

Zajímavé, můžeš to blíže vysvětlit? Abych pomocí toho kódu nastavil libovolnou globální proměnou tak na to nemusím používat cookies, stačí mi ?promena=hodnota.

Samozřejmě to jak dál skript zachází s globálníma proměnnýma a co o nich předpokládá je jiná věc a tam může být klidně kvůli tomuto kódu otevřený vektor útoku.

Ale pořád je to lepší než Remote Code Execution, který byl v původním kódu. Je ale možné, že něco nevidím.

24. 2. 2009 23:22:06

https://webtrh.cz/diskuse/nutnost-_post-_get/strana/3#reply243057

Vojta

(41 hodnocení)

24. 2. 2009 23:26:57

Napsal megi;223375
$name = 'x';
$$name = 'y';
var_dump($x);
var_dump($GLOBALS);

Že teče voda ještě neznamená, že je teplá. Pro práci s proměnnou uvnitř funkcí s tímto nepochodíš, viz znouza.

24. 2. 2009 23:26:57

https://webtrh.cz/diskuse/nutnost-_post-_get/strana/3#reply243056

megi

(3 hodnocení)

24. 2. 2009 23:31:43

Napsal afu;223393
Že teče voda ještě neznamená, že je teplá. Pro práci s proměnnou uvnitř funkcí s tímto nepochodíš, viz znouza.

Asi jsi přehlédl kontext odpovědi. Má to být kód který by se měl dát na vrch skriptu. (dokonce podle tebe samého, lol)

24. 2. 2009 23:31:43

https://webtrh.cz/diskuse/nutnost-_post-_get/strana/3#reply243055

(20 hodnocení)

24. 2. 2009 23:51:49

no nemel jsem silu precist vsechny prispevky kde se hadate u nejakych php kodu ktere zrejme nejak extra moc nesouvisi s timto tematem, ale chtel byc rict ze ten kdo do php vubec kdy implementoval neco jako register_globals nebo magic_quotes to proste nemohl mit v hlave v poradku... jedine co tim dosahl je, ze radoby programatori ted vubec nevi co ej to bezpecnost, protoze php to jakoby osetruje sam, pripadne naopak pridava nebezpecne veci ako register globals... PHP je silnej nastroj, nerikam ze ne, ale nektere veci by v nem bylo potreba eliminovat... prootze ty veci jsou proste zlo... uz se tesim az vyjde PHP 6, tam se ma spoustu techto veci omezit a je to jedine dobre... konecne se z php zacina stavat neco poradneho, stare verze php obsahuji takovych hovadin ze se clovek nestaci divit jakej blbec to mohl vymyslet... ale pokud se tomu clovek doopravdy venuje dokaze psat bezpecne a kvalitni apliakce... jenze to se o vetsine radoby programatoru proste rict neda...

24. 2. 2009 23:51:49

https://webtrh.cz/diskuse/nutnost-_post-_get/strana/3#reply243054

Switch