Sicherheitslücke für Wordpress 2.06 - SQL Injection - Seite 3

edenhuizen · 12.01.2007, 09:22

zum thema sicherheitslücken in der eigenen website kann ich https://chorizo-scanner.com empfehlen

Morris · 12.01.2007, 09:49

Zitat:

Zitat von jottlieb

Öhm...ich hab's vorsichtshalber noch in der .htaccess stehen:

Code:

php_flag register_globals off

Jetzt sag nicht, das hat keine Wirkung

Es gibt "viele" Wege auf die PHP-Einstellungen einzuwirken. Dies ist auch eine.

Ich bevorzuge allerdings grundsätzlich die php.ini

Grüße
Mo

mastermind · 12.01.2007, 12:03

Zitat:

Zitat von eldelle

also kurz und knapp: mit der globals off in der php ini bin ich fein raus und update dann trotzdem mal wenn ne neue version raus is?

So sieht's aus.

Wapiti · 12.01.2007, 20:38

Dumme Frage: Wo finde ich denn die php.ini? Kann es sein, dass ich da selbst keinen Zugriff drauf habe und das über meinen Hoster regeln muss?
Dann ändere ich nämlich erst mal die .htaccess
Update auf 2.0.6 hab ich grad erst gemacht, wenn 2.0.7 so schnell kommt dann muss ich wenigstens nicht noch mal ein Backup machen

Trotzdem würde ich die register global gerne auf off setzen. Bei der HP meines Bruders die ich mit Joomla gemacht habe ging das, aber irgendwie bin ich zu blond die php.ini bei WP zu finden...

Danke und Grüßle,
Wapiti

jottlieb · 12.01.2007, 20:44

Zitat:

Zitat von Wapiti

Dumme Frage: Wo finde ich denn die php.ini? Kann es sein, dass ich da selbst keinen Zugriff drauf habe und das über meinen Hoster regeln muss?

Jepp. Kann nur der Hoster. Aber wiegesagt, bei vielen Hostern ist register_globals eh off. Ansonsten eben über die .htaccess gehen.

Wapiti · 12.01.2007, 21:16

Danke, dann sorge ich mit der .htacces mal vor und frage bei meinem Hoster nach.
Grüßle,
Wapiti

Putzlowitsch · 12.01.2007, 21:18

Das ist je nach Hoster auch wieder unterschiedlich. Bei all-inkl z.B. geht es mit dem Eintrag 'php_flag register_globals off' in der .htaccess, nicht aber bei einem 1und1-Webhostingpaket. Hier hab ich mir damit beholfen, die standardmäßig von PHP4 verarbeiteten *.php-Dateien nun durch PHP5 parsen zu lassen. Das geht mit folgendem Eintrag in der .htaccess: 'AddType x-mapp-php5 .php'. Für PHP5 ist register_globals mit Off eingestellt, bei PHP4 jedoch mit On.

Gruß
Ingo

14.01.2007, 21:38

Zitat:

Zitat von jottlieb

Jepp. Kann nur der Hoster. Aber wiegesagt, bei vielen Hostern ist register_globals eh off. Ansonsten eben über die .htaccess gehen.

Stimmt auch nur bedingt...ich kann bei meinem Webhost einige Parameter der php.ini im Confixx-Menü selbst konfigurieren z.B. registerglobals oder safemode. Wirkt sich allerdings nur bei php4 aus.

punctilio · 14.01.2007, 21:41

Ja DU kannst es vielleicht bei DEINEM machen. Aber die anderen, die meisten, können es nicht machen.