CONSULTA DEL USUARIO:
Hola, Para mi dominio ejemplo.com no puedo pasar variables PHP vía URL, en la configuración PHP me dice que no esta activado las variables globales
¿Cómo puedo resolverlo?
Gracias
Fernando
RESPUESTA DEL STAFF:
Estimado Fernando:
No puede pasar variables desde la URL debido a que ‘register_globals‘ se encuentra deshabilitado por cuestiones muy delicadas de seguridad. Todos nuestros nuevos servidores y, en especial aquellos con la rama 5 de PHP (PHP 5.2.6), ya no soportan dicha configuración activada.
Con register_globals activado si llamaba a una página por medio de http://www.ejemplo.com/test.php?var=4, esto provocaba que en la página test.php automáticamente generase la variable $var con el valor 4. La dependencia sobre esta directiva PHP era bastante común y muchos desarrolladores ni siquiera estaban enterados que existía y asumían que ese era el modo en que PHP trabajaba normalmente.
Este aspecto delicado de la directiva junto con el hecho de que PHP no requiere la inicialización de variables, significa que es muy fácil escribir código inseguro: UD. puede inicializar lo que quiera desde una simple URL. Si a ello se le suma que muchos desarrollos se basan en sistemas de código abierto, más simple aún será escribir posibles ataques que exploten las vulnerabilidades que pudieran presentar tales sistemas (aunque los desarrolladores de tales sistemas publiquen mejoras/arreglos, no es frecuente ver que los usuarios las apliquen en tiempo y forma).
Para solucionar el inconveniente, debemos buscar todas aquellas variables que son definidas automáticamente, variables del servidor, que provienen de GET o POST, cookies, files, variables de entorno o sesión y reemplazar esas variables por las referencias adecuadas en cada caso. En PHP se han definido un grupo de arrays que dependen del lugar de procedencia: $_SERVER, $_GET, $_POST, $_COOKIE, $_FILES, $_ENV, $REQUEST y $_SESSION respectivamente.
Se deberá modificar la forma de inicialización o utilizar una versión compatible con un escenario más seguro que la inicialización remota, lo que permite a cualquier usuario la inicialización y control de su código a gusto.
De todos modos, si cree que no es posible la corrección en forma inmediata, podemos migrar su plan R1 a un servidor que, de momento, mantiene la directiva en ON (aunque sea por poco tiempo mas).
Soporte Técnico
www.sectorhosting.com