WauWau: Unsicherer Code bei Datenübergabe ohne $_POST und $_GET ?

Beitrag lesen

Hallo trinita,

Irgendwo meine ich mal gelesen zu haben, daß die Datenübergabe von einem Formular an ein PHP-Skript unsicher sei, wenn man im PHP-Skript die Daten nicht aus den Arrays $_POST bzw. $_GET ausliest, sondern direkt die von PHP automatisch angelegten Variablen verwendet (z.B. $variable für ein input-Tag mit name="variable").

Leider finde ich jetzt die entsprechende Literaturstelle nicht mehr. Kann mir hierzu jemand eine definitive Antwort (+ Erläuterung) geben bzw. einen Link oder sonstigen Hinweis ?

Die Rede ist von diesen "register_globals" oder wie die heißen. Wenn du also eine PHP-Seite mit ?bla=blo aufrufst, wird dort die Variable $bla existieren, ist register_globals auf on gestellt (in der php.ini). Und nun stell dir vor, was passiert, wenn man da mal so Sachen wie ?_SERVER=bla oder ähnliches einsetzt ;-)

Nachlesen kannst du das im </archiv/>, oder nutze gleich die Suche ;-)... bei http://www.google.de oder auch beim PHP-Manual: htttp://www.php.net.

WauWau

--
ss:) zu:) ls:& fo:) de:] va:) ch:° n4:( rl:( br:^ js:| ie:% fl:{ mo:|
E-Mail WauWau: [mailto:der-wauwau@gmx.de]