Domů Procházet Nápověda
Přihlásit se
boarspring
/
repo_zf1
zrcadlo https://github.com/bluescreen/zf1-php7.2.git
2
0
Rozštěpit 1
Soubory Úkoly 0 Wiki
Strom: d2ed8f03bc
Větve Značky
repo_zf1
/
documentation
/
manual
/
de
/
module_specs
/
Zend_View-Migration.xml

Zend_View-Migration.xml 2.5 KB
Historie Surový

123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960 
  1. <?xml version="1.0" encoding="UTF-8"?>
    2. 

  2. <!-- EN-Revision: 15103 -->
    3. 

  3. <!-- Reviewed: no -->
    4. 

  4. <sect1 id="zend.view.migration">
    5. 

  5.     <title>Migration von vorhergehenden Versionen</title>
    6. 

  6. 

  7.     <para>
    8. 

  8.         Dieses Kapitel dokumentiert primär Brüche in der Rückwärts-Kompatibilität die in Zend_View
    9. 

  9.         durchgeführt wurden, und sollte als Hilfe im Fall einer Migration von vorhergehenden
    10. 

  10.         Versionen dienen.
    11. 

  11.     </para>
    12. 

  12. 

  13.     <sect2 id="zend.view.migration.zf5748">
    14. 

  14.         <title>Migration von Versionen vor 1.7.5</title>
    15. 

  15. 

  16.         <para>
    17. 

  17.             Vor dem 1.7.5 Release wurde das Zend Framework Team darauf aufmerksam gemacht das eine
    18. 

  18.             potentielle Local File Inclusion (LFI) Schwäche in der <classname>Zend_View::render()</classname>
    19. 

  19.             Methode existiert. Vor 1.7.5, erlaubte die Methode standardmäßig, die Fähigkeit View
    20. 

  20.             Skripte zu spezifizieren die Schreibweisen für Eltern-Verzeichnisse enthalten (z.B.
    21. 

  21.             "../" oder "..\"). Das öffnet die Möglichkeit für eine LFI Attacke wenn ungefilterte
    22. 

  22.             Benutzereingaben an die <code>render()</code> Methode übergeben werden:
    23. 

  23.         </para>
    24. 

  24. 

  25.         <programlisting role="php"><![CDATA[
    26. 

  26. // Wobei $_GET['foobar'] = '../../../../etc/passwd'
    27. 

  27. echo $view->render($_GET['foobar']); // LFI Einbruch
    28. 

  28. ]]></programlisting>
    29. 

  29. 

  30.         <para>
    31. 

  31.             <classname>Zend_View</classname> wirft jetzt standardmäßig eine Ausnahme wenn so ein View Skript
    32. 

  32.             angefragt wird.
    33. 

  33.         </para>
    34. 

  34. 

  35.         <sect3 id="zend.view.migration.zf5748.disabling">
    36. 

  36.             <title>Ausschalten des LFI Schutzes für die render() Methode</title>
    37. 

  37. 

  38.             <para>
    39. 

  39.                 Da viele Entwickler gemeldet haben das Sie so eine Schreibweise in Ihren
    40. 

  40.                 Anwendungen verwenden die <emphasis>nicht</emphasis> das Ergebnis einer
    41. 

  41.                 Benutzereingabe sind, wurde ein spezielles Flag erstellt um das Deaktivieren des
    42. 

  42.                 standardmäßigen Schutzes zu erlauben. Es gibt 2 Methoden um das Durchzuführen:
    43. 

  43.                 Indem der 'lfiProtectionOn' Schlüssel in den Konstruktor-Optionen übergeben wird,
    44. 

  44.                 oder durch den expliziten Aufruf der <code>setLfiProtection()</code> Methode.
    45. 

  45.             </para>
    46. 

  46. 

  47.             <programlisting role="php"><![CDATA[
    48. 

  48. // Ausschalten über den Konstruktor
    49. 

  49. $view = new Zend_View(array('lfiProtectionOn' => false));
    50. 

  50. 

  51. // Ausschalten über expliziten Aufruf der Methode:
    52. 

  52. $view = new Zend_View();
    53. 

  53. $view->setLfiProtection(false);
    54. 

  54. ]]></programlisting>
    55. 

  55.         </sect3>
    56. 

  56.     </sect2>
    57. 

  57. </sect1>
    58. 

  58. <!--
    59. 

  59. vim:se ts=4 sw=4 et:
    60. 

  60. -->
    61.