صفحهٔ اصلی گشت‌و‌گذار راهنما
ورود
boarspring
/
repo_zf1Php7
برگرفته از boarspring/repo_zf1
2
0
انشعاب 0
پرونده‌ها
درخت: 2607d99d56
شاخه‌ها تگ‌ها
repo_zf1Php7
/
documentation
/
manual
/
de
/
module_specs
/
Zend_View-Migration.xml

Zend_View-Migration.xml 2.6 KB
تاريخچه خام

1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162 
  1. <?xml version="1.0" encoding="UTF-8"?>
    2. 

  2. <!-- EN-Revision: 17172 -->
    3. 

  3. <!-- Reviewed: no -->
    4. 

  4. <sect1 id="zend.view.migration">
    5. 

  5.     <title>Migration von vorhergehenden Versionen</title>
    6. 

  6. 

  7.     <para>
    8. 

  8.         Dieses Kapitel dokumentiert primär Brüche in der Rückwärts-Kompatibilität die in
    9. 

  9.         <classname>Zend_View</classname> durchgeführt wurden, und sollte als Hilfe im Fall einer
    10. 

  10.         Migration von vorhergehenden Versionen dienen.
    11. 

  11.     </para>
    12. 

  12. 

  13.     <sect2 id="zend.view.migration.zf5748">
    14. 

  14.         <title>Migration von Versionen vor 1.7.5</title>
    15. 

  15. 

  16.         <para>
    17. 

  17.             Vor dem 1.7.5 Release wurde das Zend Framework Team darauf aufmerksam gemacht das eine
    18. 

  18.             potentielle Local File Inclusion (LFI) Schwäche in der
    19. 

  19.             <methodname>Zend_View::render()</methodname> Methode existiert. Vor 1.7.5, erlaubte die
    20. 

  20.             Methode standardmäßig, die Fähigkeit View Skripte zu spezifizieren die Schreibweisen für
    21. 

  21.             Eltern-Verzeichnisse enthalten (z.B. "../" oder "..\"). Das öffnet die Möglichkeit für
    22. 

  22.             eine LFI Attacke wenn ungefilterte Benutzereingaben an die
    23. 

  23.             <methodname>render()</methodname> Methode übergeben werden:
    24. 

  24.         </para>
    25. 

  25. 

  26.         <programlisting language="php"><![CDATA[
    27. 

  27. // Wobei $_GET['foobar'] = '../../../../etc/passwd'
    28. 

  28. echo $view->render($_GET['foobar']); // LFI Einbruch
    29. 

  29. ]]></programlisting>
    30. 

  30. 

  31.         <para>
    32. 

  32.             <classname>Zend_View</classname> wirft jetzt standardmäßig eine Ausnahme wenn so ein
    33. 

  33.             View Skript angefragt wird.
    34. 

  34.         </para>
    35. 

  35. 

  36.         <sect3 id="zend.view.migration.zf5748.disabling">
    37. 

  37.             <title>Ausschalten des LFI Schutzes für die render() Methode</title>
    38. 

  38. 

  39.             <para>
    40. 

  40.                 Da viele Entwickler gemeldet haben das Sie so eine Schreibweise in Ihren
    41. 

  41.                 Anwendungen verwenden die <emphasis>nicht</emphasis> das Ergebnis einer
    42. 

  42.                 Benutzereingabe sind, wurde ein spezielles Flag erstellt um das Deaktivieren des
    43. 

  43.                 standardmäßigen Schutzes zu erlauben. Es gibt 2 Methoden um das Durchzuführen:
    44. 

  44.                 Indem der 'lfiProtectionOn' Schlüssel in den Konstruktor-Optionen übergeben wird,
    45. 

  45.                 oder durch den expliziten Aufruf der <methodname>setLfiProtection()</methodname>
    46. 

  46.                 Methode.
    47. 

  47.             </para>
    48. 

  48. 

  49.             <programlisting language="php"><![CDATA[
    50. 

  50. // Ausschalten über den Konstruktor
    51. 

  51. $view = new Zend_View(array('lfiProtectionOn' => false));
    52. 

  52. 

  53. // Ausschalten über expliziten Aufruf der Methode:
    54. 

  54. $view = new Zend_View();
    55. 

  55. $view->setLfiProtection(false);
    56. 

  56. ]]></programlisting>
    57. 

  57.         </sect3>
    58. 

  58.     </sect2>
    59. 

  59. </sect1>
    60. 

  60. <!--
    61. 

  61. vim:se ts=4 sw=4 et:
    62. 

  62. -->
    63.