PHP 4 から PHP 5 への移行
using .htaccess file to disable register globals (register_globals)
The syntax for setting an option is:
php_value name value
php_flag name on or off
Example:
php_flag register_globals off
php_value arg_separator.output &
The example turns off register_globals and sets the value of arg_separator.output to & which is preferred rather than the default &.
Note: you can also set boolean options with the php_value directive, the string will be converted to boolean before assignment.
you can also use .htaccess to turn magic quotes on or off.
Search php.net and you'll find it
その他の質問
ここでは他のカテゴリに分類することができないような質問を扱います。
- bz2 で圧縮された Windows マニュアルはどのように扱えばいいのですか?
- asort() の定義のように、引数の横に & が ついているのはどういう意味ですか?
- 私はどのように register_globals を扱うべきですか?
-
bz2 で圧縮された Windows マニュアルはどのように扱えばいいのですか?
-
bz2 ファイルを処理することができるアーカイバを持っていない場合、 RedHat からコマンドラインツールを » ダウンロードしてください (詳細は下記の情報を参照)。
コマンドラインツールを使いたくない場合は、» Stuffit Expander、 » UltimateZip、 » 7-Zip、 » Quick Zip のようなフリーのツールを使用することも可能です。 » WinRAR または » Power Archiver のようなツールを持っている場合、簡単に bz2 ファイルを解凍できます。 Total Commander(以前は Windows Commander)を使用している場合は、 bz2 用のプラグインを » Total Commander のサイトから無料で手に入れることが出来ます。
Redhat から入手可能な bzip2 コマンドラインツール:
Windows 2000 SP2 のユーザは バージョン 1.0.2 を、他の全ての Windows ユーザはバージョン 1.00 を使用してください。 ダウンロードしたら実行ファイルの名前を bzip2.exe へ変更してください。 そしてそれをパスの通ったディレクトリ、例えば C:\Windows(ドライブ名は貴方のシステムにあわせて適宜変更してください) へコピーしてください。
注意: lang は使用する言語を意味し、 pdf のように x は指定した形式を表します。 php_manual_lang.x.bz2 を解凍するには以下のようにします。
- コマンドプロンプトウィンドウを開きます
- ダウンロードした php_manual_lang.x.bz2 を保存したディレクトリに cd コマンドを使用して移動します。
- bzip2 -d php_manual_lang.x.bz2 を実行すると php_manual_lang.x というファイルが同じディレクトリに生成されます。
分割 HTML 版アーカイブ(php_manual_lang.tar.bz2) をダウンロードした場合でも手順は同じです。 唯一の違いは、bzip2 コマンドの実行後に php_manual_lang.tar が生成されることです。 tar 形式のファイルは » WinZip といったアーカイバで扱うことができます。
-
asort() の定義のように、引数の横に & が ついているのはどういう意味ですか?
-
その引数が 参照渡し であり、 ドキュメントに書かれているとおり、関数内でそれが変更される可能性が あることを示します。変数のみをこの方法で渡すことができ、関数を コールする際に & を渡す必要はありません(これは 廃止予定 の方法です)。
-
私はどのように register_globals を扱うべきですか?
-
register_globals とセキュリティの関連については、 Using register_globals を参照ください。
register_globals が On であることに依存するよりも、 スーパーグローバル の使用を推奨します。
register_globals が Off になっている共有ホスト上で 古いアプリケーションを動かす必要があり、アプリケーションがこの設定を On にすることを要求している場合、 あるいはこの機能が On になっているホスティングサーバ上でセキュリティの リスクを抑えたい場合など、PHP でこれらの設定を逆転させる必要が出てきます。 いちばんいい方法は PHP の設定を変更できないか確認してみることですが、 もしそれができない場合には、このような方法を使用することができます。
例1 Register Globals をエミュレートする
これは register_globals On をエミュレートします。 variables_order ディレクティブを変更している場合は、それに応じて $superglobals を変更してください。
<?php
// register_globals on をエミュレートする
if (!ini_get('register_globals')) {
$superglobals = array($_SERVER, $_ENV,
$_FILES, $_COOKIE, $_POST, $_GET);
if (isset($_SESSION)) {
array_unshift($superglobals, $_SESSION);
}
foreach ($superglobals as $superglobal) {
extract($superglobal, EXTR_SKIP);
}
}
?>これは register_globals Off をエミュレートします。 注意してほしいのは、このコードはスクリプト内のいちばん最初に コールされる必要があるということです。ただし、 セッションを開始するために session_start() を使用する場合は、その後にコールする必要があります。
<?php
// register_globals off をエミュレートする
function unregister_GLOBALS()
{
if (!ini_get('register_globals')) {
return;
}
// よりよいエラーメッセージのために、これを変更するとよいでしょう
if (isset($_REQUEST['GLOBALS']) || isset($_FILES['GLOBALS'])) {
die('GLOBALS overwrite attempt detected');
}
// unset すべきでない変数群
$noUnset = array('GLOBALS', '_GET',
'_POST', '_COOKIE',
'_REQUEST', '_SERVER',
'_ENV', '_FILES');
$input = array_merge($_GET, $_POST,
$_COOKIE, $_SERVER,
$_ENV, $_FILES,
isset($_SESSION) && is_array($_SESSION) ? $_SESSION : array());
foreach ($input as $k => $v) {
if (!in_array($k, $noUnset) && isset($GLOBALS[$k])) {
unset($GLOBALS[$k]);
}
}
}
unregister_GLOBALS();
?>
add a note
User Contributed Notesその他の質問
19-Jul-2005 04:08
markus
18-Jun-2005 10:34
18-Jun-2005 10:34
Considering the comment below. I think there's a way to avoid that "problem":
<?php
//
// $starttime is an example of a variable that we might need to define,
// even before, running the "register_globals OFF" emulator below.
//
list($msec, $sec) = explode(' ', microtime());
$starttime = ((float)$msec + (float)$sec);
//
// If register_globals is ON, ensure no unexpected globals are defined.
// ie. We'll try to emulate a register_globals OFF environment.
//
if( (bool)@ini_get('register_globals') )
{
$superglobals = array($_ENV, $_GET, $_POST, $_COOKIE, $_FILES, $_SERVER);
if( isset($_SESSION) )
{
array_unshift($superglobals, $_SESSION);
}
$knownglobals = array(
//
// Known PHP Reserved globals and superglobals:
//
'_ENV', 'HTTP_ENV_VARS',
'_GET', 'HTTP_GET_VARS',
'_POST', 'HTTP_POST_VARS',
'_COOKIE', 'HTTP_COOKIE_VARS',
'_FILES', 'HTTP_FILES_VARS',
'_SERVER', 'HTTP_SERVER_VARS',
'_SESSION', 'HTTP_SESSION_VARS',
'_REQUEST',
//
// Global variables used by this code snippet:
//
'superglobals',
'knownglobals',
'superglobal',
'global',
'void',
//
// Known global variables defined before this code snippet is reached.
//
'starttime',
);
foreach( $superglobals as $superglobal )
{
foreach( $superglobal as $global => $void )
{
if( !in_array($global, $knownglobals) )
{
unset($GLOBALS[$global]);
}
}
}
}
?>
Note the stuff related to the $_SESSION array depends on whether the PHP session has been started or not. You might want to call session_start() before this point (or set session.auto_start ON).
HTH+ :)
php at REMOVEMEkennel17 dot co dot uk
13-Apr-2005 03:22
13-Apr-2005 03:22
Regarding simulating register_globals = off, note that it is impossible to adequately prevent $_SESSION variables from being globalised, as the array (and thus the globals) are created on a call to session_start(). You would therefore have to 'undo' this when you start a session as using it at the start of your script will have no effect.
To avoid potential problems, use a prefix that is unique for all session variables (e.g. 'SESS_'), and only access them via the $_SESSION array. The prefix ensures that you don't have a naming clash (and therefore a security risk) with any non-session globals.
Juhapekka Tolvanen
18-Feb-2005 07:34
18-Feb-2005 07:34
I added many links to software that can at least decompress Bzip2-files here:
http://en.wikipedia.org/wiki/Bzip2