Re: Ile zarabia programista PHP i JAVA - Grupy dyskusyjne w eGospodarka.pl

Path: news-archive.icm.edu.pl!newsfeed.gazeta.pl!newsfeed.icp.pl!nf1.ipartners.pl!ipa
rtners.pl!news.elsat.net.pl!not-for-mail
From: Wojciech Bańcer <p...@p...pl>
Newsgroups: pl.praca.dyskusje
Subject: Re: Ile zarabia programista PHP i JAVA
Date: Mon, 5 Feb 2007 08:01:30 +0000 (UTC)
Organization: None
Lines: 34
Message-ID: <s...@e...elsat.net.pl>
References: <1...@s...googlegroups.com>
<eq2uil$b7d$1@news.onet.pl> <op.tm6zs1l3xtjvfl@orn44iu3284>
<eq4gnf$am9$1@pyro.tvk.wroc.pl>
<1...@q...googlegroups.com>
NNTP-Posting-Host: host-d9ada907.elsat.net.pl
Mime-Version: 1.0
Content-Type: text/plain; charset=iso-8859-2
Content-Transfer-Encoding: 8bit
X-Trace: news.elsat.net.pl 1170662490 23091 217.173.169.7 (5 Feb 2007 08:01:30 GMT)
X-Complaints-To: n...@n...elsat.net.pl
NNTP-Posting-Date: Mon, 5 Feb 2007 08:01:30 +0000 (UTC)
User-Agent: slrn/0.9.8.1 (FreeBSD)
Xref: news-archive.icm.edu.pl pl.praca.dyskusje:201629
[ ukryj nagłówki ]
Jarek 'true' Wasowski napisał(a):

[...]

> Dla tego wycina sie w konfigu by zmienne z get byly dostepne tylko pod
> $_GET[] ;)
> Wtedy musial by zrobic $_GET['a'] ;) hehe

I to nadal jest rozwiązanie przeokropne.
Takie:
include $_GET['a'] . '.php';
tez.

register_globals = off nie rozwiązuje problemu włączania nieautoryzowanych
plików, ale zupełnie inny problem - wiele osób sadziło warunki, np:

if ($uprawnienia == flagiadmina) {
$admin = true;
}

[...]

if ($admin) {
...
}

bez ustawiania domyślnej, początkowej wartości zmiennej. W efekcie dało się
z poziomu URL ustawić zmienne, których nie powinno się dać ustawiać. I przed
tym właśnie chroni ta opcja. :)

--
Wojciech 'Proteus' Bańcer
p...@p...pl