Thema: PHP magic_quotes_gpc setting is `OFF` instead of `ON`

Ich habe aber php5 installiert.
Also besser 6?

Warum wird das dann von Joomla empfohlen?
Von einem gut konfiguriertem system kann ich nicht sprechen,
das ist die suse standart installation - ein paar unnötige dienste

ups! sehe grad, dass ich mal wieder im 1-Nuller Forum bin, daher eine Richtigstellung

Zitat von CirTap

alle Joomla!-Applikationen schalten magic-quotes zur Laufzeit AUS.

"Joomla!-Applikationen" im Sinne von 1.5 (Site, Admin, Installer, XML-RPC) schalten das zentral in ihrer "framework.php" aus.
Bei 1.0 wird permanent der Status der magic-quotes geprüft und -- wenn "aus" -- entsprechend maskiert.
Da 1.5 also aufgrund seiner eigenen Massnahme davon ausgeht, dass diese Einstellung immer aus ist, wird auch immer maskiert.

CirTap

Ich habe aber php5 installiert.
Also besser 6?

hat das jemand gesagt?
Bleib mal ruhig bei PHP5, es sei denn du bist experimentierfreudig: die 6er gibt's derzeit nur als Entwicklerversion.

Zitat von stripes

Warum wird das dann von Joomla empfohlen?

wie gesagt, hab ich mich (mal wieder) in der Versionnummer vertan :-) mal kurz eine 1.0er installiert und (da bei mir die Einstellung OFF ist) seh ich jetzt auch (nach langer Zeit) was dich da "anbrüllt" <g>

ABER schauen wir mal hinter die Kulissen und gehen vom schlimmsten Fall aus, dann sind (wie ich schon sagte) magic-quotes, safe_mode und open_dir lediglich "Krücken", die man versucht auf PHP-Seite zu behoben, obgleich sie auf System- bzw. Anwendungsebene zu lösen sind.

Wie flotte schon schrub, ist das wilde Verteilen von PHP.INIs unklug. Da du nunmal schon root-Rechte hast, ändere die *eine* php.ini in dessen Installationsverzeichnis so "scharf" wie es dein Gewissen erfordert und deine Kenntnisse erlauben, und lass dann gut sein.
Statt dem PHP-Modul, nimm die CGI-Fassung (wurde auch schon gesagt), die nicht umsonst von vielen Hostern bevorzugt wird, weil sie von vornherein weniger Systemrechte hat. Aber: dann ist nixmehr mit PHP-Direktiven in .htaccess reinschreiben, weil die nur vom Modul erkannt wird. Ach und umgekehrt gilt, dass das Modul sich um umherliegende PHP.INIs auch nicht schert -- weshalb deine Massnahme also garnicht greift.

Halten wir fest: http://docs.joomla.org/Joomla_Admini...rity_Checklist

Zitat von Joomla Administrators Security Checklist

... Adjust the magic_quotes_gpc directive as needed for your site. The recommended setting for Joomla! 1.0.x is ON to protect against poorly-written third-party extensions. The safest method is to turn magic_quotes_gpc off and avoid all poorly-written extensions, period.
Joomla! 1.5 ignores this setting and works fine either way.
...

Übersetzung um jedwelchen Unklarheiten vorzubeugen:

Stelle die Direktive magic_quotes_gpc entsprechend den Anforderungen deiner Site ein.
Die empfohlene Einstellung für Joomla! 1.0 lautet ON um sich vor armseelig programmierten Erweiterungen Dritter zu schützen.
Die sicherste Methode ist magic_quotes_gpc auf OFF (aus) zu stellen und alle armseelig programmierten Erweiterungen zu meiden. Punkt.
Joomla! 1.5 ignoriert diese Einstellung und funktioniert bestens, egal wierum.

magic_quotes_gpc einzuschalten ist also dann vorzuziehen, wenn man schlecht programmierte Extensions (sprich PHP-Skripte im Generellen) installiert/nutzt -- von denen es für 1.0 leider zu viele gibt. Mitunter ist 1.0 selbst schuld, da der Kernel dort nicht ganz so flexibel und leicht zu nutzen ist wie seit der 1.5 und jeder "PHP-Schreiberling" sein eigenes Süppchen kocht. Das allerdings oft aus Unkenntnis und Desinteresse darüber was auch 1.0 schon an Helfern zu bieten.

J! 1.0 kümmert sich bei seinen mitgebrachten Extensions anständig darum, dass immer sicher maskiert wird. Eine com_schnubbi oder ein mod_ganztoll tun das mitunter nicht, und denen gegenüber gilt eigentlich diese Massnahme.

Halten wir zudem fest, dass du als Wurzelnutzer deines Servers und selbst ernannter Web-Administrator mal ganz, ganz dringend die Handbücher von PHP und Apache studieren solltest. Witzigerweise steht dort nämlich alles drin. Und die gibt's sogar auf deutsch.
Du hast also die Wahl: Sicherheit oder Bequemlichkeit.

CirTap

Zitat von larsneo

du solltest dich vielleicht zuerst einmal mit einer 'guten' php-grundkonfiguration beschäftigen: phpsecinfo kann dir dabei helfen. wie man php konfiguriert, verrät dir am besten die entsprechende dokumentation

Danke so etwas suchte ich.

Was mir noch einfällt... abgesehen davon das ich den umgang mit php und webservern lernen muss/möchte: Ist joomla 1.5 besser für mich?, was ist die stabilste version?
Ich möchte überhaupt keine plug ins installieren sonderen nur meine webseite einfacher verwalten mit ein paar mehr funktionen als wordpress Denn "xhtml+css only" ist einach zu viel arbeit!

Ist joomla 1.5 besser für mich?

Ich sag mal so: mit der 1.0 ist bei Erscheinen der 1.6 Ende-Gelände. Ich glaub was von "einem Jahr Sicherheitspatches" gelesen zu haben und dann wird der 1.0er-Code kwasi offiziell eingestampft.

was ist die stabilste version?

wenn du sowieso "keine" Erweiterungen installieren willst, sind beide wohl als gleich stabil einzustufen. Ärger machen eigentlich immer schlecht programmierte Extensions von Hobby-Codern -- egal für welche J!-Version.

1.5 unter PHP5 läuft hier prächtig und da inzwischen auch einige joomla.org Sites mit 1.5 laufen (die sicher mehr traffic machen als du dir je erträumen wirst), ist das wohl Argument genug um auf die 1.5 zu setzen. Mal abgesehen davon, ist 1.5 auch flexibler in der Anpassung.
Vergleicht man die Basisfunktionen von 1.0 und 1.5 ist meiner Ansicht nach kein Riesenunterschied vorhanden -- Optik und Handhabe mal beiseite. Unter der Haube ist aber praktisch alles neu.
In 1.6 kommen wieder ein paar Neuerung hinzu, das MVC-Konzept ist dann auch im Admin komplett, und die Mindestanforderung wird dann u.a. PHP 5.1.2 sein, 5.2+ empfohlen.
Und es wird einen "1.5 Legacy Mode" geben :-)

CirTap

Zitat von stripes

Was mir noch einfällt... abgesehen davon das ich den umgang mit php und webservern lernen muss/möchte: Ist joomla 1.5 besser für mich?, was ist die stabilste version?

Kann mich CirTap nur anschließen. Er hat die Situation vollumfänglich umschrieben.
Wie Du aber auch selbst erkannt hast ist eine sinnvolle Webserverumgebung bei beiden Joomla-Versionen die Basis. Such Dir ein gutes HowTo für eine fast/CGI oder mindestens suPHP-Installation für Deine Linux-Distribution und baue eine sichere und kompatible Umgebung für PHP-Anwendungen auf. Dieser Aufwand wird sich für Dich später 10-fach auszahlen, denn damit umgehst Du die ganzen typischen Probleme in Bezug auf Rechte, wwwrun etc.pp. Das Forum ist voll von diesen Problemen. All das ersparst Du Dir :-)

Ich möchte überhaupt keine plug ins installieren sonderen nur meine webseite einfacher verwalten mit ein paar mehr funktionen als wordpress Denn "xhtml+css only" ist einach zu viel arbeit!

Auch für einfache Websits macht Joomla Sinn, denn wie Du erkannt hast, erschlägst Du damit (relativ gut) die Problematik der "Designnachführung" bei Integration neuer Seiten oder Funktionen. Bei Joomla ist das alles zwangsweise "aus einem Guss".
Außerdem garantiere ich Dir, das die Wünsche nach zusätzlichen Funktionalitäten stark zunehmen wird, wenn Du erst einmal ein Werkzeug in der Hand hast, womit das fast auf Knopfdruck möglich ist.