dynamic-net.ch AG News News der Firma dynamic-net.ch AG en-us Sat, 04 Feb 2012 13:04:13 GMT PHP mit register_globals Off verwenden *UPDATE*
In der Regel lässt sich jedes PHP-Skript so programmieren, dass diese Voraussetzungen nicht erforderlich ist. Das Skript ist dann sauberer programmiert und bietet eine höhere Kompatibilität.

Der Hauptunterschied liegt in der Verwendung von Variablen, die nicht im aktuell ausgeführten PHP Skript definiert werden, z.B. Formularvariablen via POST- oder URL-Parameter via GET-Methode, aber auch Cookie-Variablen. Im folgenden Beispiel wird eine Formularvariable ("benutzer") abgefragt:

Mit register_globals On:

$b=trim(addslashes(strip_tags($benutzer)));
# ...
?>

Mit register_globals Off (Code kompatibel zu On):

$b=trim(addslashes(strip_tags($_POST['benutzer'])));
# ...
?>

Weiterführende Informationen finden Sie auf der PHP-Website:
» Kapitel 29. Verwendung von Register Globals


Schneller Workaround:
Um z.B. per GET übergebene Parameter im Skript weiter verwenden zu können, empfiehlt sich, im Parameter empfangenden PHP-Dokument zuoberst die PHP-Funktion extract() zu verwenden. Diese Funktion weist Array-Key/Value-Parametern entsprechende Variablennamen mit deren Inhalt zu.
Folgende Codezeilen sollten also die Funktionalität Ihres Skripts wiederherstellen:

extract($_GET, EXTR_SKIP);
#
# Hier folgt Ihr eigener Code
# ...
#
?>


Wenn Formulardaten per POST übermittelt werden, muss anstelle von $_GET das $_POST-Array referenziert werden.

Wichtiger Hinweis: Dieser Workaround ist nur als temporäre Lösung zu verstehen, der Code sollte zeitnah angepasst werden. Beachten Sie den Parameter EXTR_SKIP, der verwendet werden muss, damit aus Arrays extrahierte Variablen nicht lokal vorhandene überschreiben! ]]> Sat, 04 Feb 2012 08:00:00 GMT Berechtigung von Dateien nach PHP-Upload (chmod, umask, 600)
Mit diesem Tech-Channel Beitrag zeigen wir Ihnen Lösungen für ausgewählte CMS und eigene Skripte auf.

Joomla
Das CMS Joomla bietet bei der Installation die Option zur Definition von festen Verzeichnis- und Dateirechten. Wählen Sie diese Option mit den Standardwerten 644 für Dateien und 755 für Verzeichnisse aus.
Nachträglich können Sie diese Option im Menü Site -> Global Configuration setzen, wie in folgendem Bild dargestellt:
Screenshot

Gallery2 (Menalto)
Auch die Menalto-Galerie bietet die Möglichkeit, über die Konfiguration Standardrechte zu setzen. Die Option finden Sie unter Site-Administration -> Allgemeine Einstellungen:
Screenshot

Eigene Skripte
Damit Dateien in eigenen Skripten die korrekten Rechte erhalten, bieten sich zwei Lösungswege an:

1. PHP-Funktion chmod() (empfohlen)
Rufen Sie die Funktion in Ihrem Upload-Skript direkt nach Upload mit der neu erstellten Datei auf.

# ...
# Ihr Upload-Code
# ...
// Bei einem erstellten Verzeichnis (selten):
chmod ("./verzeichnisname", 0755);
// Bei einem hochgeladenen Bild (oder sonstiger Dateityp):
chmod ("./verzeichnis/meinbild.jpg", 0644);
?>

2. PHP-Funktion umask()
Wenden Sie diese Funktion idealerweise am Anfang des Upload-Skriptes an. Umask ist als eine Art inverse Maske zu verstehen. Um die gewünschten Berechtigungen zu erhalten, setzen Sie den Wert 022:

umask(022);
# ...
# Ihr Upload-Code
# ...
?> ]]> Sat, 04 Feb 2012 08:00:00 GMT Perl: Sicheres Skripting mit perlsec Perl security ausgeführt, um "tainted data" (verschmutzte Daten) aus Umgebungsvariablen zu verhindern, welche die Ausführung von schadhaftem Code ermöglichen können.

Möglicherweise erhalten Sie neu folgende Fehlermeldung bei Ausführung eines Perl-Skripts (im Beispiel formmail.pl) im error.log (bei Webhosting-Kunden im Browser nur durch "Internal Server Error 500" erkennbar):

Insecure $ENV{PATH} while running setuid at formmail.pl line 391.
Premature end of script headers: /home/www/webX/html/cgi-bin/formmail.pl

Um diesen Mangel zu beheben, kann der Pfad im Array der Umgebungsvariablen neu gesetzt und nicht benötigte gelöscht werden. Fügen Sie nach den allgemeinen Definitionen folgende zwei Zeilen in Ihr Perl-Skript ein:

$ENV{PATH} = "/bin:/usr/bin";
delete @ENV{ 'IFS', 'CDPATH', 'ENV', 'BASH_ENV'};

Die von uns bereitgestellte Version von FormMail.pl wurde bereits aktualisiert und steht in der FAQ zum Download bereit. ]]> Sat, 04 Feb 2012 08:00:00 GMT MySQL-Fehler: 1054 - Unknown column 'p.products_id' in 'on clause' (oder ähnlich)
Betroffen sind u.a. Versionen von osCommerce und Woltlab Burning Board. Patches werden teils von den Skriptherstellern oder Skriptnutzern bereitgestellt (siehe unten).

Als schneller Workaround ein Auszug eines Problemskripts in osCommerce. Folgende Abfrage erzeugt den oben genannten Fehler:

select count(p.products_id) as total from products_description pd, products p left join manufacturers m on p.manufacturers_id =[...]

Wird diese Abfrage folgendermassen korrigiert, funktioniert die Abfrage problemlos:
SELECT COUNT(p.products_id) AS total FROM products p, products_description pd LEFT JOIN manufacturers m ON p.manufacturers_id =[...]

Patches
Für betroffene osCommerce-Versionen steht hier ein Patch zum Download bereit.

]]> Sat, 04 Feb 2012 08:00:00 GMT Sensible Zugangsdaten in Perl- und PHP-Skripten sicher verwenden
In seltenen Fällen kann es durch Fehlkonfigurationen oder temporären Diensteausfällen passieren, dass Code von Skripten vom Perl- oder PHP-Interpreter nicht geparst (Befehle ausgeführt) wird. Dies hätte zur Folge, dass der Source-Code dem Betrachter der Seite zum Download angeboten wird - was unter Umständen z.B. die erwähnten MySQL-Zugangsdaten oder sonstige sensible Informationen offenlegt.

Um diese Art Sicherheitslücke zu umgehen, empfiehlt es sich, sensible Daten ausserhalb des für den Browser erreichbaren Verzeichnisses zu platzieren:

Über den Browser sind per Standard alle Dateien in dem Verzeichnis /html und darunter zu erreichen. Die Ordnerstruktur des Webhostings bietet auch ein Verzeichnis /files, dem keine (Sub-)Domain zugewiesen werden kann, worauf Sie jedoch normal Zugriff haben und Daten speichern können. Es empfiehlt sich, an diesem Ort Ihre sensiblen Skriptdaten zu speichern. Innerhalb Ihres Webs können Sie bei PHP mit einer include(), require() oder require_once()-Funktion diese Dateien referenzieren.

Anwendung mit fertigen PHP-Skriptlösungen, wie z.B. Joomla, WordPress, usw.

Bei CMS und anderen Fertiglösungen liegt meist eine Konfigurationsdatei vor, die im Stamm- oder einem eigenen include-Verzeichnis gespeichert ist.
Um diese Konfigurationsdatei mit ihren sensiblen Daten auszulagern, führen Sie folgende Schritte aus:
  1. Kopieren Sie die Konfigurationsdatei in das Verzeichnis /files (oder ein dort angelegtes Unterverzeichnis)
  2. Ersetzen Sie die originale Konfigurationsdatei durch eine Datei mit folgendem Inhalt:
    ?>
  3. Ersetzen Sie im Beispiel webX durch Ihre Webnummer (Benutzername) und passen Sie den Namen der Kopie der Konfigurationsdatei an.
Die Konfigurationsdatei wurde nun ausgelagert und ist ausserhalb des für den Browser sichtbaren Bereichs.

Hinweis:
Durch diese Methode kann die globale Konfiguration z.B. von Joomla sehr wahrscheinlich nicht mehr über das Administrationsinterface modifziert werden. Nehmen Sie Änderungen in der Konfiguration daher immer direkt in der Konfigurationsdatei vor. ]]> Sat, 04 Feb 2012 08:00:00 GMT osCommerce mit register_globals Off
http://www.oscommerce.com/community/contributions,2097 ]]> Sat, 04 Feb 2012 08:00:00 GMT Hilfe bei 500 Fehler (Internal Server Error) Wenn  bei Aufruf Ihrer Domain oder einer Unterseite ein 500-Fehler generiert wird, hat dies vermutlich eine der folgenden Ursachen:

  • ungültige .htaccess-Datei
    Prüfen Sie, ob Sie eine .htaccess-Datei verwenden, die ungültige oder nicht erlaubte Inhalte hat. Gewisse Optionen oder Überschreibungsfunktionen sind in .htaccess-Dateien nicht erlaubt. Kommentieren Sie ggf. probeweise einzelne Zeilen durch Voranstellen eines #-Zeichens aus
  • zu grosszügig gesetzte Datei- und/oder Verzeichnisrechte
    Wenn Ihr Web mit dem PHP-Wrapper suphp läuft, geniessen Sie einen besonderen, zusätzlichen Schutz Ihres Webs. PHP-Dateien werden hier nur ausgeführt, wenn Ihrem Web-Benutzer die auszuführende PHP-Datei gehört und maximal die Standardrechte zugewiesen bekommen hat. Über chmod oder WebFTP können Sie ggf. die Rechte bei Verzeichnissen auf 0755 und bei PHP-Dateien auf 0644 ändern.
    Viele Skriptlösungen empfehlen, die Rechte auf 0777 zu setzen, was ein Schreiben, Ändern und Löschen von Daten von "jedermann" in Ihrem Web ermöglicht. Diese "Empfehlung" müssen Sie ignorieren, damit der 500-Fehler nicht auftritt.

Bei Fragen zu diesem Thema oder Bedarf an Hilfestellung steht Ihnen unser Support-Team gerne zur Verfügung.

]]> Sat, 04 Feb 2012 08:00:00 GMT