[PHP]$GLOBALS a zmienne prywatne klas. Opcje

[Kużdo]

Heyka,

Mam pytanko do osób, które znają odpowiedź ^^ Otóż, czy da się w jakiś sposób zabezpieczyć zmienne prywatne w klasach przed odczytem ich z tablicy $GLOBALS? Z góry dzięki za odpowiedź.

Pozdrawiam.

[nospor]

A od kiedy zmiennej prywatne klasy znajdują sie w tablicy GLOBALS?

[Kużdo]

Nie wiem od kiedy, ale tak jest Sprawdzane na localhost i serwerze ;P

Dowód (wycinek z $GLOBALS):

Kod

[baza] => DB Object
    (
        [host:DB:private] => localhost
        [user:DB:private] => nazwa
        [pass:DB:private] => haslo
        [name:DB:private] => baza
        [port:DB:private] => 3306
        [prefix:DB:private] => prefix
        [connection] =>
        [error] =>
    )

connection i error to zmienne publiczne.

Ten post edytował Kużdo 28.04.2012, 19:44:48

[nospor]

Jak to się nie znać a pisać...

W globals panie kolego to ty masz obiekt DB a nie zmienne prywatne. A print_r ma to do siebie że z obiektu wyświetla wszystko nawet zmienne prywatne.
Po pierwsze:z globals to nie ma żadnego związku
po drugie: spróbuj w takim razie coś tej zmiennej prywatnej przypisać

Podsumowując: nie ma żadnego problemu.

[Kużdo]

Dobra, źle sformułowałem zdanie ;P Chodzi mi o to, aby właśnie nawet przez print_r nie dało sie wylistować tych zmiennych. Bo w ten sposób można dostać się do danych, których nie musimy chcieć udostępniać ludziom. A np. taki vb pozwala na wykonanie dowolnego kodu PHP, więc zakładając, że mam dostęp do czyjegoś panelu admina vb, mogę wylistować sobie login i hasło do bazy danych, właśnie dzięki $GLOBALS.

[nospor]

NIe dzięki GLOBALS tylko dzięki temu, że print_r wyświetla wszystko. Przyjmij to wkoncu do wiadomosci.

Nie da się. Masz dostęp do obiektu to dzieki print_r możesz podejrzeć jego zmienne prywatne.

[Kużdo]

Obyłoby się bez "przyjmij to wkoncu do wiadomosci". Potencjalny atakujący nie musi znać zmiennych w skrypcie, a $GLOBALS zna na 100%, co za tym idzie pisałem ciągle o $GLOBALS, bo dzięki tej tablicy dowiedziały się o danych, których każdy wolałby nie ujawniać.

Poza tym nie uzyskałem odpowiedzi na moje pytanie w Twojej poprzedniej wypowiedzi, więc nadal pytałem się o możliwość zabezpieczenia tego (na te pytanie dostałem dopiero teraz odpowiedź), więc nie rozumiem tej lekkiej bulewrsacji, jakobym nie zrozumiał czegoś z Twojego poprzedniego postu.

Tak czy siak, dzięki za odpowiedź.

[Fifi209]

A mógłbyś pokazać kod PHP?

[nospor]

Obyłoby się bez "przyjmij to wkoncu do wiadomosci"

Bo ci poraz kolejny wyjasniam ze to nie dzieki GLOBALS a dzięki print_r. Obyłoby się bez tych słów z mojej strony gdybyś przyjął to do wiadomosci za pierwszym razem

[Kużdo]

@nospor, dzięki $GLOBALS uzyskamy dostęp do tych zmiennych, a nie dzięki znaniu nazwy konkretnego obiektu. To, że print_r tak działa zrozumiałem już przy pierwszym wyjaśnieniu, ale jakoś chyba musiałem dalej opisać sytuację?

@Fifi209, nie rozumiem do czego mógłby się przydać tutaj kod. Zwykła klasa, która zawiera kilka zmiennych prywatnych. Ustawia się je przy tworzeniu nowego obiektu. Nie da się zmienić, ani wylistować.

[PHP] pobierz, plaintext 
class DB
{
    private $host;
    private $user;
    private $pass;
    private $name;
    private $port;
    private $prefix;
 
    public $connection;
    public $error;
 
    public function __construct($host, $user, $pass, $name, $port, $prefix)
    {
        $this -> host = $host;
        $this -> user = $user;
        $this -> pass = $pass;
        $this -> name = $name;
        $this -> port = $port;
        $this -> prefix = $prefix;
    }
    /* Reszta metod do obslugi bazy */
}
 
/* Kod z drugiego pliku php */
$baza = new DB($dbhost, $dbuser, $dbpass, $dbname, $dbport, $dbprefix);
[PHP] pobierz, plaintext 

Ten post edytował Kużdo 28.04.2012, 20:42:54

[Fifi209]

I potem robisz:

[PHP] pobierz, plaintext 
print_r($GLOBALS);
[PHP] pobierz, plaintext 

i ją widzisz tak?

Ten post edytował Fifi209 28.04.2012, 21:34:07

[Kużdo]

Wysłałeś posta 2 razy I tak, chodzi o ten drugi sposób, bo nie ma $_GLOBALS.