Software Update erschiesst PHP !

pbook

Aktives Mitglied
Thread Starter
Dabei seit
19.04.2003
Beiträge
237
Reaktionspunkte
0
Hab mir gestern abend den aktuellen Software Update vom Apple Server gezogen. Ich denk mir ja nix böses dabei, einige Sicherheitsupdates, iPod, iTunes , etc...
Heute Morgen wa mein kompletter Apache zerschossen, PHP auf dem Stand von 1984 - warum wird man da nicht gewarnt ???
Wer hat ähnliche Erfahrungen gemacht ??
))-:
 
Args, sorry, noch zu früh am Tag, hab mich beim verschieben verklickt. Heck, kannst Du mal bitte...?

Grüße,

tasha
 
Verschieben - Second try

@ tasha:
Problem erkannt, Problem gebannt.... :D

Willkommen in der PHP&SQL Rubrik
 
Hm,

ich hatte nach Updates noch nie Probleme mit meiner Apache-Konfiguration.
Vielleicht kannst Du ein wenig genauer werden, was genau nicht mehr
funktioniert.


Gruß
Delmar
 
mir ist es letzes jahr beim upgade von 10.1 auf 10.2 so ergangen.

richtig gewarnt wird nicht - steht nur in der beschreibung was von apache update aber nix davon, dass apple auf uraltsysteme upgraded.

meine lösung war die installalation von apache 2.0

der liegt woanders auf der platte und wird von den upgrades nicht tangiert

ist in meinen augen sowiso eine verbesserung gegenüber dem 1.3

gruß
 
PHP wird nicht mehr korrekt ausgeführt.
ist jetzt 4.2.3 oder so.
wo liegt denn apache 2.0 auf der Platte ?
 
bei mir nach der installation in library > apache2

bedenke aber, dass ich auch etliche mods sowie mysql installieren musste.

wenn du aber schon was mit dem 1.3 gearbeitet hast, sollte die anpassung keine probleme mit sich bringen, alldieweil du ihn komplett neu einrichten musst.

ich denke es hat sich für mich gelohnt, auch wenn die allermeisten webserver noch mit dem alten apache arbeiten
 
Bin mir noch etwas unschlüssig, da ich beruflich auch mit einem "alten" apache zu tun habe.
weisst du eine gute Downloadmöglichkeit für osx (Panther) für den 2er ??
 
ohje ohje hab ich vergessen. hab damals ein bisschen gegoogelt.

php und mysql hab ich, ?, von http://www.entropy.ch/home/

nachdenk......

probier mal http://www.serverlogistics.com da findest du so ziemlich alles
 
entropy kannte, da ist im Moment (projektgebunden) nicht viel los, früher gabs da geile tuts.

Der andere Link ist neu für mich, merci ;-))
 
hallo zusammen,

PHP wird nicht mehr korrekt ausgeführt.
ist jetzt 4.2.3 oder so

also ich hatte das problem auch-

Im Grunde ist es so, dass die Vorversionen von PHP ein Sicherheitsproblem hatten, wodurch es z. B. möglich war, durch ein bischen Tippen in der adresszeile des Browsers in passwortgeschützte Bereiche einzudringen (flags manuell setzten).

daher ist ab PHP 4.2 die einstellung
register_globals
auf "off" gesetzt, früher war sie standardmäßig auf "on"

das hat u. a. zur folge, dass globale Variablen nicht mehr zugelassen sind, und seiten, die mit globalen variablen geschrieben sind nicht mehr richtig funktioniern.

Abhilfe schafft erstmal der eintrag "register_globals = On" in der php.ini.
ABER, damit hat man auch das sicherheitsloch wieder geöffnet.

langfristig ist daher anzustreben Globale Variablen zu meiden.
Diese sind ohnehin unsauber und können zB zu Problemen führen, wenn man Namen von cookies und input-Feldern gleich wählt etc.
 
Zuletzt bearbeitet:
kannst du mir mal ein Beispiel für eine globale Variable geben, ich weiss nicht ob es das gleiche ist was ich darunter verstehe.

Wäre echt nett ;-)
 
hallo pBook

hier ein kleines bei der Formularauswertung:
Der Name eines Formularfelds wurde automatisch zur Variable.

<input type="text" name="plz">

Im auswertenden Skript konnte man dann so auf den Variablen Inhalt zugreifen (und zwar unabhängig von der Übermittlungsmethode (method=POST, method=GET)):

$plz

Das geht nun nicht mehr (ähnlich ist es zB bei Cookies).

Jetzt muss man folgendermaßen auf die Variable zugreifen:

$_POST["plz"]

Bei "method=GET" muss es natürlich anders heissen und bei Cookies wieder anders,
man kann eben nicht mehr global darauf zugreifen.

Das hat aber neben dem ärgerlichen Effekt, dass man nun so manches umstricken muss auch sehr positive Effekte.
(z. B. mehr Sicherheit und die Möglichkeit den selben Namen für Variablen und Cookies zu verwenden, was ich aber nicht machen würde).

Ich hoffe das beantwortet Deine Frage und hilft Dir weiter.
Wenn du noch mehr Info willst, zB über das Sicherheitsproblem mit globalen Variablen, dann melde Dich noch mal.

Ich hör an dieser Stelle erstmal auf, weil sich manche gestört fühlen, wenn man hier Informationen postet die nicht ganz ausdrücklich erfragt wurden.
Versteh ich zwar nicht ganz, weil doch andere als die Fragesteller auch diese Threads lesen und dann vielleicht gar nicht mehr fragen müssen, aber so isses eben.
Komisch dabei ist, dass die, die sich am meisten aufregen selber am wenigsten Substanz in Ihren postings haben *ääääächz*
 
Original geschrieben von maceis
Ich hör an dieser Stelle erstmal auf, weil sich manche gestört fühlen, wenn man hier Informationen postet die nicht ganz ausdrücklich erfragt wurden.
Versteh ich zwar nicht ganz, weil doch andere als die Fragesteller auch diese Threads lesen und dann vielleicht gar nicht mehr fragen müssen, aber so isses eben.
Komisch dabei ist, dass die, die sich am meisten aufregen selber am wenigsten Substanz in Ihren postings haben *ääääächz*
&nbsp;

Ich habe Dir dazu eine PN geschrieben!
 
Na, Na, nicht rumstänkern, ich bin dir jedenfalls für deine detaillierten Tipps sehr dankbar .
Das Problem haut bei mir einige Scripts in die Pfanne.
Ich hätte mir von Apple nur etwas mehr Information bezüglich dieses Updates gewünscht, hab das Update nämlich über "Software aktualisieren" , vielleicht etwas blauäugig, gezogen.
Das heisst in Zukunft alle Dokumentationen einzeln checken.
Als PHP User ist man wohl eindeutig eine Randgruppe.
Zumal das ganze für mich überhaupt nicht sicherheitsrelevant war, ich hocke hier hinter einem Router und zwei Firewalls. Da brauche ich keine verbesserte php.ini.

Ich mach mir erstmal eine Sicherheitskopie der alten .ini, für die Zukunft, wie dumm, für die httpd.conf habe ich das schon gemacht, warum hab ich das nicht schon längst getan ?
 
hallo pbook

erstmal vorab, die Sache mit Delmar war ein Mißverständnis - haben wir per PN geklärt, habe nämlich Ihn gar nicht gemeint

das sicherheitsproblem träfe dich genauso, wenn du zum Beispiel per php passwortgeschützte Bereiche auf deiner webseite hättest und mit flags arbeiten würdest.
wenn diese flags nicht sauber (zB.: mit "false") initiiert sind, kann es zu Problemen kommen.
Ich persönlich verwende aber für sowas die ".htaccess"-Methode.

Ich würde jedenfalls mit Apple in diesem Fall nicht allzu hart ins Gericht gehen, da sie ja nur Open Source Software kostenlos mitliefern bzw. aktualisieren.

Ich glaube es ist schon ziemlich viel verlangt, wenn Apple diese Fremdsoftware jedesmal (kostenlos) analysieren und auf eventuelle Risiken oder ungünstige Veränderungen überprüfen müsste.
Schön wär´s natürlich, aber wie gesagt schon ziemlich viel verlangt.
Die Folge wäre wohl, dass man alles selber suchen und installieren müsste

Abgesehn davon hätte man ja (ich habs auch nicht getan) die php Seiten von Anfang an sauber skripten können.

Freut mich jedenfalls, dass ich dir helfen konnte.
Schöne Grüße
 
Zuletzt bearbeitet:
@ pbook: es geht bei "Globals off" weniger um lokal laufende Seiten, sondern um echte Sicherheitslücken bei der Parameterübergabe. Spätestens wenn eine Kunden-Seite durch diese Hintertür gehackt wurde, wirst du dich ohnehin umorientieren müssen.

Davon abgesehen ist mir kein seriöser Hoster bekannt, der Globals noch zulässt ... soll heißen: es macht Sinn, die Entwicklungsumgebung so weit wie möglich den eigentlichen Web-Servern anzupassen, um die Skripte reibungslos übertragen zu können.

Was Apple angeht: ich hatte noch keine Probleme bei Updates, allerdings wäre es ein netter Zug von Apple, wenn der Installer die vorhandenen .config-Dateien auf Änderungen checken und ggf als Backup speichern würde ...

cheers, me
 
Nur das ich auf meinem Powerbook keine Kunden hoste. Ich hoste überhaupt keine Kunden, sondern will nur ein wenig mit PHP basteln.
Wenn apple das in der osx-Server Version noch nicht längst gefixt hatte war das ein ganz nettes Scheunentor.
Finde aber auch ein kleiner Hinweis wäre ok gewesen.
 
hallo pbook,

wenn für dich "Globals on" in Ordnung ist, dann kannst du es ja einfach wieder einschalten.
Ich selbst bastle ja auch nur mehr weniger rum :)

Allderdings stehe ich nach wie vor auf dem Standpunkt, dass niemand erwarten kann für eine kostenlose (Open Source, GNU etc) Dreingabe aufwändigen Support zu erhalten.
Es ist in den entsprechenden Linzenzen ganz klar geregelt, dass die Software "as is" geliefert wird und keinerlei Gewährleistung, Schadenersatz oder ähnliches geleistet wird.

Dafür steht die Software ja auch kostenlos zum download im Internet bereit.
Oft in verschiedenen "Reifegraden" (Pre-Release, alpha, beta, stable etc.)

Mac OS X Server oder nicht, wer in Unkenntnis, oder schlimmer in Kenntnis, über die Eigenschaften der Software so etwas in einem Produktiv-Umfeld einsetzt und (aus eigenem Leichtsinn) Schaden erleidet, hat meiner Meinung nach die Verantwortung für sein eigenes Handeln selbst zu tragen.

Seien wir uns doch mal ehrlich:
Wer eine solche Software kommerziell einsetzt (sei sie nun mit einem System kostenlos mitgeliefert oder selbst heruntergeladen), der handelt doch im höchsten Maß verantwortungslos, wenn er sich nicht Fachkenntnisse über deren Einsatz erwirbt.

Ein seriöser Hoster sollte auch nicht "Bastler" wie uns, sondern geschultes Fachpersonal zur Systempflege einsetzten.
Und die sollten auch vor php 4.2. über Globals On oder Off Bescheid gewusst haben.

Ich hoffe, ich hab mich jetzt nicht unbeliebt gemacht :D, aber bedenke bitte auch, welch hoch leistungsfähige Software (Apache, MySQL, PHP usw.) wir hier letztendlich geschenkt bekommen
 
Über den "Bastler" scheinst du allerdings schon ein wenig hinaus zu sein, finde ich recht fundiert was du so beiträgst. (Bauchpinsel)
offensichtlich war aber vor 4.2 Globals = on, und da die Apfel inc. auch eigene Serversoftware vertreibt die wesentlich auf apache aufsetzt, finde ich das echt ein Ding.
 
Zurück
Oben Unten