register_globals

[Jorge Rodrigues]

Pessoal, semana passada eu ia colocar um post aqui no fórum sobre algo que me aconteceu...

Deixei para colocar hoje e aproveito para que leiam este artigo que saiu no www.joomla.como.br (http://www.joomla.com.br/noticias/notic ... tuado.html)

Seguinte: Fiz a instalação do Joomla normalmente e, por completo descuido, deixei o resgister_globals ligado. Como todos sabem, o Murph é um Duende que fica perto de nós quando fazemos algo errado... E o infeliz adora register_globals ligado...

Assim que terminei o site, peguei o telefone para ligar para o meu cliente. Sabe-se lá o porque, resolvi dar um refresh... BOMBA!!!!!! Meu site havia sido invadido!!!

Não completei a ligação e entrei em desespero... Não fazia a menor idéia de como resolver o problema... Então usei o método "Joga fora no lixo"!!! Comecei do zero, com  um novo banco de dados e com o register_globals desligado...

Sei que deve haver forma mais inteligente de se resolver este problema... Mas a forma mais inteligente é Mantenham essa coisa DESLIGADA!!!

Abraços a todos!

[Luis Pacheco]

Que isso cara, mas que azar!! Eu sempre desligo o register globals, mas as vezes me esqueço quando boto o site no ar e só depois que entro no administrator e reparo na mensagem que peço pro host desligar, sorte minha que nunca me aconteceu nada então, agora vou tomar bem mais cuidado!!!

E vc não tinha o backup do site?

[claudia consultorianaweb]

olá rapaziada td blz? Jorge vc poderia me dizer como vc consegue fazer seu register ficar off? já segui o tutorial apresentado aqui e sempre retorna a mensagem de erro 500, estou usando uma empresa de hosting, obrigada pela ajuda,  :-*

[Luis Pacheco]

Eu tive que pedir para que meu host desligasse, não tive que mecher em nada, vc tem acesso ao php.ini?Se não tiver tem que pedir pra eles.

[Lucivaldo de Oliveira Santana]

Para aumentar a segurança do seu site é preciso que a variável register_globals esteja OFF. Em alguns servidores esta variável por padrão está ON. Então vamos aprender a mudar o seu valor.

Antes vamos identificar o tipo de instalação do PHP no servidor. No painel administrativo, logado como super administrador, acesse: System > System Info > Php Info. Na quarta linha, Server API, é identificado o tipo de instalação:

1 - Server API | Apache
2 - Server API | CGI

1 - Servidores com PHP sendo executado como Módulo Apache

Na raiz do seu site existe um arquivo htaccess.txt ou .htaccess.

Caso exista o arquivo .htaccess abra com um editor de PhP e insira a linha abaixo no final:

php_flag register_globals off

Caso exista o htacess.txt insira a linha
php_flag register_globals off
e renomeie-o para .htaccess

2 - Servidores com PHP sendo executado como CGI

Crie um arquivo com o nome php.ini na raiz e no diretório /administrator do Joomla! com o parâmetro register_globals = Off
e dê permissão 400.

Pronto! Vá na administração do Joomla!, logado como Super Administrador, em -> System -> System Info e confira: sua variável está OFF.

Atenção: Válido somente para servidores Apache.

Update
Também há uma configuração no Joomla! com uma possível falha de segurança: Register Globals Emulation (RG_Emulation)

Seu sistema estará mais seguro com o Register Globals Emulation desativado. Contudo, por padrão nas versões do Joomla! 1.0.x esta configuração está ativada para garantir compatibilidade com extensões de terceiros que ainda precisam de Register Global ativado.

Para desativar Register Globals Emulation edite o arquivos globals.php na raiz do Joomla!

Altere:
define( 'RG_EMULATION', 1 );

Para:
define( 'RG_EMULATION', 0 );

Dica do Fabrício aka FabMak

[CalRaiden©]

Outro fator importante para manter o registro global off, seria que está havando mudanças do php5 para php6. E conforme descrito no forum de discursão, o registro global não terá mais.

Assim quando menos usarem, menos problema terão no momento de atualização do servidor.

[Karlos Rikaryo]

Boa noticia essa do PHP6

mas tem outro negocinho que pode complicar..existe alguns servers que deixa a opção (magic_quotes_gpc) deixa desligado no lugar de tá ligado..pode ser uma possivel brecha para os espertinhos... Ainda bem que no Joomla 1.0.13 já vem com uma interface para desativar o register globais

Para os que não sabem ainda (Configurações Globais>Servidor>Register Globals Emulation).

vlw