|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Igor Chumak 2:5020/400 06 Apr 2005 13:08:17
To : Ruslan Kosolapov
Subject : Re: php vs perl!
--------------------------------------------------------------------------------
Hello, Ruslan!
You wrote to Igor Chumak on Tue, 5 Apr 2005 16:15:53 +0000 (UTC):
RK> ==[ Igor -> Ruslan:
SO>>>>> В моём ведении находится тестовый сайтик, на котором пробуются
SO>>>>> всякие форумы, чаты, голосования и т.п. - примерно 2/3 из тех,
SO>>>>> что написаны на PHP обламываются на дефолтных редхатных
SO>>>>> настройках PHP типа: register_globals = Off
IC>>>> Это из серии "почему нужно/не нужно делать use strict в программе
IC>>>> на perl" ;-) Стиль программирования у них такой..
RK>>> А register_globals стали off по дефолту уже лет пять назад. При
RK>>> этом на php.net чётко приводится exploit из-за register_globals,
RK>>> специально для дебилов написано.
IC>> Hе нашёл :( Имеется в виду универсальный эксплойт для системы с PHP
IC>> или _возможность_ написания оного?
RK> http://ru3.php.net/manual/en/security.globals.php:
Гы ;)
"Of course, simply turning off register_globals does not mean your code is
secure" - это оттуда ;))
А я русский перевод той же страницы нашёл ;)))
Дык к чему это я? Если программист не в курсе, что под его творение
требуются специальные общесистемные настройки - он неправ.
Если он не очень хорошо владеет выбранным языком программирования (я бы сюда
отнёс и использование неинициализированных переменных в PHP, и святую веру в
register_globals = Off) - он тоже неправ.
ЗЫ: из эксплойтов, использующих именно особенности PHP, мне удалось найти (в
первой десятке по google ;-)) ) только эксплойт, использующий баг в ф-ии
unserialize().
With best regards, Igor Chumak. E-mail: igor()g-auto.pul.kiev.ua
--- ifmail v.2.15dev5.3
* Origin: Adamant ISP news server (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
