Hallo Oswald,
Kai 'Oswald' Seidler wrote:Die Sicherheitsbedenken entstehen aber nicht durch register_globals selbst sondern durch schlechte Programmierung.
Jein.
Natürlich hast Du im Prinzip recht. Doch wir alle machen mal Fehler.
Die Gefahr sich eine manipulierte Variable von außen "einzufangen" ist auf jeden Fall mit register_globals on wesentlich größer.
Und die Folge nun immer $_REQUEST[], $_POST[] oder $_GET[] schreiben zu müssen find ich mühselig und auch nicht sexy.
Ich pflege das so zu handhaben, dass alle aus $_POST erwarteten Variablen einen Suffix bekommen. Dann kann ich in einer einfachen foreach-Schleife nur diese gewünschten Variablen in den globalen Gültigkeitsbereich holen. Das ist nicht wirklich mehr Arbeit und hat den Vorteil, dass es bei jeder Servereinstellung funktioniert.
Ich halte eher das Vorraussetzen von register_globals=on für schlechten Programmierstil (das ist jetzt nicht persönlich gemeint - Du bist in allen anderen Punkten mein Vorbild
).
Du bringst mich da aber gerade auf eine Idee. Wenn Programmieren sexy ist, dann baue ich mein Schlafzimmer aus.