Home Explore Help
Sign In
boarspring
/
repo_zf1
mirror of https://github.com/bluescreen/zf1-php7.2.git
2
0
Fork 1
Files Issues 0 Wiki
Tree: d689a0fcd0
Branches Tags
repo_zf1
/
documentation
/
manual
/
de
/
module_specs
/
Zend_View-Migration.xml

Zend_View-Migration.xml 2.5 KB
History Raw

12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061 
  1. <?xml version="1.0" encoding="UTF-8"?>
    2. 

  2. <!-- EN-Revision: 15617 -->
    3. 

  3. <!-- Reviewed: no -->
    4. 

  4. <sect1 id="zend.view.migration">
    5. 

  5.     <title>Migration von vorhergehenden Versionen</title>
    6. 

  6. 

  7.     <para>
    8. 

  8.         Dieses Kapitel dokumentiert primär Brüche in der Rückwärts-Kompatibilität die in Zend_View
    9. 

  9.         durchgeführt wurden, und sollte als Hilfe im Fall einer Migration von vorhergehenden
    10. 

  10.         Versionen dienen.
    11. 

  11.     </para>
    12. 

  12. 

  13.     <sect2 id="zend.view.migration.zf5748">
    14. 

  14.         <title>Migration von Versionen vor 1.7.5</title>
    15. 

  15. 

  16.         <para>
    17. 

  17.             Vor dem 1.7.5 Release wurde das Zend Framework Team darauf aufmerksam gemacht das eine
    18. 

  18.             potentielle Local File Inclusion (LFI) Schwäche in der
    19. 

  19.             <classname>Zend_View::render()</classname> Methode existiert. Vor 1.7.5, erlaubte die
    20. 

  20.             Methode standardmäßig, die Fähigkeit View Skripte zu spezifizieren die Schreibweisen für
    21. 

  21.             Eltern-Verzeichnisse enthalten (z.B. "../" oder "..\"). Das öffnet die Möglichkeit für
    22. 

  22.             eine LFI Attacke wenn ungefilterte Benutzereingaben an die <code>render()</code> Methode
    23. 

  23.             übergeben werden:
    24. 

  24.         </para>
    25. 

  25. 

  26.         <programlisting language="php"><![CDATA[
    27. 

  27. // Wobei $_GET['foobar'] = '../../../../etc/passwd'
    28. 

  28. echo $view->render($_GET['foobar']); // LFI Einbruch
    29. 

  29. ]]></programlisting>
    30. 

  30. 

  31.         <para>
    32. 

  32.             <classname>Zend_View</classname> wirft jetzt standardmäßig eine Ausnahme wenn so ein
    33. 

  33.             View Skript angefragt wird.
    34. 

  34.         </para>
    35. 

  35. 

  36.         <sect3 id="zend.view.migration.zf5748.disabling">
    37. 

  37.             <title>Ausschalten des LFI Schutzes für die render() Methode</title>
    38. 

  38. 

  39.             <para>
    40. 

  40.                 Da viele Entwickler gemeldet haben das Sie so eine Schreibweise in Ihren
    41. 

  41.                 Anwendungen verwenden die <emphasis>nicht</emphasis> das Ergebnis einer
    42. 

  42.                 Benutzereingabe sind, wurde ein spezielles Flag erstellt um das Deaktivieren des
    43. 

  43.                 standardmäßigen Schutzes zu erlauben. Es gibt 2 Methoden um das Durchzuführen:
    44. 

  44.                 Indem der 'lfiProtectionOn' Schlüssel in den Konstruktor-Optionen übergeben wird,
    45. 

  45.                 oder durch den expliziten Aufruf der <code>setLfiProtection()</code> Methode.
    46. 

  46.             </para>
    47. 

  47. 

  48.             <programlisting language="php"><![CDATA[
    49. 

  49. // Ausschalten über den Konstruktor
    50. 

  50. $view = new Zend_View(array('lfiProtectionOn' => false));
    51. 

  51. 

  52. // Ausschalten über expliziten Aufruf der Methode:
    53. 

  53. $view = new Zend_View();
    54. 

  54. $view->setLfiProtection(false);
    55. 

  55. ]]></programlisting>
    56. 

  56.         </sect3>
    57. 

  57.     </sect2>
    58. 

  58. </sect1>
    59. 

  59. <!--
    60. 

  60. vim:se ts=4 sw=4 et:
    61. 

  61. -->
    62.