Joomla PHP Register Globals ON o OFF

Durante l’installazione di Joomla, nella pagina dove vengono controllati i settings del server, può capitare che venga rilevata la voce “Register Globals” ON, sottolineata in rosso come se fosse un errore. L’installazione comunque va avanti, l’errore non impedisce di continuare.

Come possiamo evitare questo warning? Possiamo usare PHP5 anzichè PHP4 - se l’hosting lo consente - , infatti PHP5 ha la variabile register_globals OFF di default.

A questo punto potrebbe comparire un warning riguardo a magic_quotes_gpc che potrebbe essere OFF. Il consiglio è di ignorare questo valore, l’installazione standard di Joomla non fa uso di questo setting.

L’opzione Magic Quotes è stata introdotta in PHP per aiutare gli sviluppatori a proteggersi dagli attacchi di SQL injection. Cosa succede quando viene attivata Magic Quotes? Viene eseguita l’istruzione addslashes() sulle informazioni ricevute attraverso form GET, POST o attraverso cookies.

Purtroppo questa protezione non si è rivelata perfetta, infatti esistono una serie di caratteri che non sono considerati da questa funzione ma che i database interpretano come caratteri speciali.

Riportando un articolo del consorzio PHP Security:
“Unfortunately this protection isn’t perfect: there are a series of other characters that databases interpret as special not covered by this function. In addition, data not sent direct to databases must un-escaped before it can be used.”

e ancora

“Because it’s inconsistent and ineffective, it’s not recommended that magic_quotes_gpc be enabled. Rely on input filtering done by your scripts.”

Joomla esegue tutti i controlli del caso contro la SQL Injection. Occorre però assicurarsi che lo stesso venga fatto da tutti i moduli e componenti che vengono installati nel sistema. La sicurezza di Joomla dipende anche e soprattutto da essi.

Tags: CMS, Joomla, PHP, Register-Globals, Sicurezza
Articoli correlati:

• Rilasciato Joomla! 1.0.14 (0)
• Packt Open Source CMS Awards 2007 (0)
• La sicurezza di Joomla (0)
• Installare Joomla 1.5 Release Candidate 1 su Mac OS X (3)
• Come migliorare la sicurezza di Joomla (0)

Questo post è stato scritto Tuesday, October 2nd, 2007 alle 12:23 pm ed è appartiene alle seguenti categorie: Joomla. Puoi seguire i commenti di questo post grazie al feed RSS 2.0. Puoi lasciare un commento, o farmi un link dal tuo sito.