웹마스터 팁
Register_globals 옵션의 개별적용 및 그에관한 tip
2003.09.13 14:18
미리 몇가지 URL 을 첨부한다.
http://kr.php.net/configuration.changes
http://www.php.net/register_globals
http://www.php.net/apache
PHP register globals 옵션에 대한 개별적용
그동안 get 과 post 방식으로 변수를 받을때의 보안문제로 인하여 register_globals
옵션을 off 로 하는것이 정설이었다.
post 방식으로 받아야하는 변수를 get 으로도 받게 되었을때 변수조작이 가능하기 때문이다.
post 방식은 <input> 을 이용하여 form 값을 넘겨받는 방식이며 get 방식은
URL 뒤에 값을 첨부하는 방식이다.
몇가지 문서 및 php.net 을 뒤져본결과 register_globals (전역등록) 에 관한 몇가지
옵션 및 Tip 을 찾을수 있었다.
이미 php.net 의 register_globals 에 대해서 많은 comment 가 달려있었다.
그중 내가 관심을 가지는 부분은 php 옵션에 대한 개별 적용이다.
나는 register_globals 를 on 하고싶은데 서버관리자의 정책은 그렇지 않을경우
변수를 extract 해야하는 수고를 겪을수도 있다.
물론 이 상황은 보안에 민감하지 않은 프로그램을 운용시 해당한다.
.htaccess 파일을 이용하여 php 옵션을 개별적으로 적용할수 있었다.
또한 php script 의 선택적 구동 (어떤사용자는 php 를 parsing 가능하게하고 그렇지 못하게하는경우)
도 가능했다.
---------------------어떤 사람의 코멘트----------------------------------------------------
If you are on a vhost with register_globals=on (like me):
You can include in your .htaccess
php_flag register_globals off
(just like Arjan proposed with "on") to increase your local security.
--------------------------------------------------------------------------------------------
즉 자기 계졍의 httpd Root 에(ex.public_html) .htaccess 파일을 생성하고
그 안의 내용을 상기와 같게 하면 된다는 것이다.
php_flag register_globals [off|on]
단 이에는 다음과 같은 조건이 따른다.
---------------------어떤 사람의 코멘트----------------------------------------------------
On the note about putting "php_flag register_globals on" in your .htaccess to allow a transition period:
You must have something like this in your httpd.conf file for that to work.
<Directory /whatever/>
AllowOverride Options
</Directory>
(AllowOverride All will also work.)
Took me a while to dig that out of the manual, so I thought I'd post it.
--RJ
--------------------------------------------------------------------------------------------
httpd.conf 에서 allowoverride 옵션을 넣어줘야한다는것.
또는 가상호스팅에 적용하기위해 다음의 경우를 생각할수도 있다.
---------------------어떤 사람의 코멘트----------------------------------------------------
It's possible to set register_globals to "off" on a site-by-site basis via Apache, thus overriding the "global" setting of register_globals in php.ini:
In httpd.conf:
<VirtualHost 127.0.0.1>
ServerName localhost
DocumentRoot /var/www/html/mysite
php_value register_globals 0 (or 1 for "on")
</VirtualHost>
That way, sites with old code can have register globals turned on, but for all new developments it will be disabled.
--------------------------------------------------------------------------------------------
---------------------어떤 사람의 코멘트----------------------------------------------------
If you're using global variables to cope with access levels within your interactive website or application,
the safe way is to store the username and password used in the cookies and verify it on every page by having
the same auth code included.
That way the only hacking that can be done is packet interception to grab passwords
(SSL if you're worried about that) or somebody hacking someone else's cookies in IE or something by getting
to their computer. (IE settings might have a fix for this although if IE is using SSL to get a cookie one
would hope it encrypts the stored data but you never know...)
I think reg_global_vars is like any other tool, its only a security risk if you use it unaware of the possibilities.
For non-security related variables its a quick and convenient tool, and for security related ones its something to
be worked around or avoided.
--------------------------------------------------------------------------------------------
보안을 염려하는 사람의 글도 볼수 있었다.
---------------------어떤 사람의 코멘트----------------------------------------------------
Not using the registers, I would assume that this example would also prevent a hacker from
changing the username via POST or GET, since I am setting the username cookie and hash cookie
for the entire session. The cookies are only set once and the hash key is known only to me.
Example:
// Do all this before the html header - php post self
// User gave his/her username and pressed submit.
$hidden_hash_var = 'this_is_your_secret_hash_key';
if ($username) { // valid login - set cookie now for session
$id_hash= md5($username.$hidden_hash_var);
$secure = 1; // 1 for https - use 0 for http
$site = $HTTP_HOST; // your site
setcookie("username","$username",0,"/","$site",$secure);
setcookie("id_hash","$id_hash",0,"/","$site",$secure);
}
// check to see if the user is logged in (cookie set and hash matches)
$LOG_IN = 0;
if ($username && $id_hash) { // Checks each post
$hash=md5($username.$hidden_hash_var);
if ($hash == $id_hash) {
$LOG_IN = 1; // they'd have to guess this var
}
}
// end - if i'm mistaken let me know. 12/2002
--------------------------------------------------------------------------------------------
자신의 tip 을 소개하였다.
http://kr.php.net/configuration.changes
http://www.php.net/register_globals
http://www.php.net/apache
PHP register globals 옵션에 대한 개별적용
그동안 get 과 post 방식으로 변수를 받을때의 보안문제로 인하여 register_globals
옵션을 off 로 하는것이 정설이었다.
post 방식으로 받아야하는 변수를 get 으로도 받게 되었을때 변수조작이 가능하기 때문이다.
post 방식은 <input> 을 이용하여 form 값을 넘겨받는 방식이며 get 방식은
URL 뒤에 값을 첨부하는 방식이다.
몇가지 문서 및 php.net 을 뒤져본결과 register_globals (전역등록) 에 관한 몇가지
옵션 및 Tip 을 찾을수 있었다.
이미 php.net 의 register_globals 에 대해서 많은 comment 가 달려있었다.
그중 내가 관심을 가지는 부분은 php 옵션에 대한 개별 적용이다.
나는 register_globals 를 on 하고싶은데 서버관리자의 정책은 그렇지 않을경우
변수를 extract 해야하는 수고를 겪을수도 있다.
물론 이 상황은 보안에 민감하지 않은 프로그램을 운용시 해당한다.
.htaccess 파일을 이용하여 php 옵션을 개별적으로 적용할수 있었다.
또한 php script 의 선택적 구동 (어떤사용자는 php 를 parsing 가능하게하고 그렇지 못하게하는경우)
도 가능했다.
---------------------어떤 사람의 코멘트----------------------------------------------------
If you are on a vhost with register_globals=on (like me):
You can include in your .htaccess
php_flag register_globals off
(just like Arjan proposed with "on") to increase your local security.
--------------------------------------------------------------------------------------------
즉 자기 계졍의 httpd Root 에(ex.public_html) .htaccess 파일을 생성하고
그 안의 내용을 상기와 같게 하면 된다는 것이다.
php_flag register_globals [off|on]
단 이에는 다음과 같은 조건이 따른다.
---------------------어떤 사람의 코멘트----------------------------------------------------
On the note about putting "php_flag register_globals on" in your .htaccess to allow a transition period:
You must have something like this in your httpd.conf file for that to work.
<Directory /whatever/>
AllowOverride Options
</Directory>
(AllowOverride All will also work.)
Took me a while to dig that out of the manual, so I thought I'd post it.
--RJ
--------------------------------------------------------------------------------------------
httpd.conf 에서 allowoverride 옵션을 넣어줘야한다는것.
또는 가상호스팅에 적용하기위해 다음의 경우를 생각할수도 있다.
---------------------어떤 사람의 코멘트----------------------------------------------------
It's possible to set register_globals to "off" on a site-by-site basis via Apache, thus overriding the "global" setting of register_globals in php.ini:
In httpd.conf:
<VirtualHost 127.0.0.1>
ServerName localhost
DocumentRoot /var/www/html/mysite
php_value register_globals 0 (or 1 for "on")
</VirtualHost>
That way, sites with old code can have register globals turned on, but for all new developments it will be disabled.
--------------------------------------------------------------------------------------------
---------------------어떤 사람의 코멘트----------------------------------------------------
If you're using global variables to cope with access levels within your interactive website or application,
the safe way is to store the username and password used in the cookies and verify it on every page by having
the same auth code included.
That way the only hacking that can be done is packet interception to grab passwords
(SSL if you're worried about that) or somebody hacking someone else's cookies in IE or something by getting
to their computer. (IE settings might have a fix for this although if IE is using SSL to get a cookie one
would hope it encrypts the stored data but you never know...)
I think reg_global_vars is like any other tool, its only a security risk if you use it unaware of the possibilities.
For non-security related variables its a quick and convenient tool, and for security related ones its something to
be worked around or avoided.
--------------------------------------------------------------------------------------------
보안을 염려하는 사람의 글도 볼수 있었다.
---------------------어떤 사람의 코멘트----------------------------------------------------
Not using the registers, I would assume that this example would also prevent a hacker from
changing the username via POST or GET, since I am setting the username cookie and hash cookie
for the entire session. The cookies are only set once and the hash key is known only to me.
Example:
// Do all this before the html header - php post self
// User gave his/her username and pressed submit.
$hidden_hash_var = 'this_is_your_secret_hash_key';
if ($username) { // valid login - set cookie now for session
$id_hash= md5($username.$hidden_hash_var);
$secure = 1; // 1 for https - use 0 for http
$site = $HTTP_HOST; // your site
setcookie("username","$username",0,"/","$site",$secure);
setcookie("id_hash","$id_hash",0,"/","$site",$secure);
}
// check to see if the user is logged in (cookie set and hash matches)
$LOG_IN = 0;
if ($username && $id_hash) { // Checks each post
$hash=md5($username.$hidden_hash_var);
if ($hash == $id_hash) {
$LOG_IN = 1; // they'd have to guess this var
}
}
// end - if i'm mistaken let me know. 12/2002
--------------------------------------------------------------------------------------------
자신의 tip 을 소개하였다.
