Heyka,

Mam pytanko do osób, które znają odpowiedź ^^ Otóż, czy da się w jakiś sposób zabezpieczyć zmienne prywatne w klasach przed odczytem ich z tablicy $GLOBALS? Z góry dzięki za odpowiedź.

Pozdrawiam.

A od kiedy zmiennej prywatne klasy znajdują sie w tablicy GLOBALS?

Nie wiem od kiedy, ale tak jest Sprawdzane na localhost i serwerze ;P

Dowód (wycinek z $GLOBALS):

connection i error to zmienne publiczne.

Jak to się nie znać a pisać...

W globals panie kolego to ty masz obiekt DB a nie zmienne prywatne. A print_r ma to do siebie że z obiektu wyświetla wszystko nawet zmienne prywatne.
Po pierwsze:z globals to nie ma żadnego związku
po drugie: spróbuj w takim razie coś tej zmiennej prywatnej przypisać

Podsumowując: nie ma żadnego problemu.

Dobra, źle sformułowałem zdanie ;P Chodzi mi o to, aby właśnie nawet przez print_r nie dało sie wylistować tych zmiennych. Bo w ten sposób można dostać się do danych, których nie musimy chcieć udostępniać ludziom. A np. taki vb pozwala na wykonanie dowolnego kodu PHP, więc zakładając, że mam dostęp do czyjegoś panelu admina vb, mogę wylistować sobie login i hasło do bazy danych, właśnie dzięki $GLOBALS.

NIe dzięki GLOBALS tylko dzięki temu, że print_r wyświetla wszystko. Przyjmij to wkoncu do wiadomosci.

Nie da się. Masz dostęp do obiektu to dzieki print_r możesz podejrzeć jego zmienne prywatne.

Obyłoby się bez "przyjmij to wkoncu do wiadomosci". Potencjalny atakujący nie musi znać zmiennych w skrypcie, a $GLOBALS zna na 100%, co za tym idzie pisałem ciągle o $GLOBALS, bo dzięki tej tablicy dowiedziały się o danych, których każdy wolałby nie ujawniać.

Poza tym nie uzyskałem odpowiedzi na moje pytanie w Twojej poprzedniej wypowiedzi, więc nadal pytałem się o możliwość zabezpieczenia tego (na te pytanie dostałem dopiero teraz odpowiedź), więc nie rozumiem tej lekkiej bulewrsacji, jakobym nie zrozumiał czegoś z Twojego poprzedniego postu.

Tak czy siak, dzięki za odpowiedź.

A mógłbyś pokazać kod PHP?

Bo ci poraz kolejny wyjasniam ze to nie dzieki GLOBALS a dzięki print_r. Obyłoby się bez tych słów z mojej strony gdybyś przyjął to do wiadomosci za pierwszym razem

@nospor, dzięki $GLOBALS uzyskamy dostęp do tych zmiennych, a nie dzięki znaniu nazwy konkretnego obiektu. To, że print_r tak działa zrozumiałem już przy pierwszym wyjaśnieniu, ale jakoś chyba musiałem dalej opisać sytuację?

@Fifi209, nie rozumiem do czego mógłby się przydać tutaj kod. Zwykła klasa, która zawiera kilka zmiennych prywatnych. Ustawia się je przy tworzeniu nowego obiektu. Nie da się zmienić, ani wylistować.

[PHP] pobierz, plaintext 
class DB
{
    private $host;
    private $user;
    private $pass;
    private $name;
    private $port;
    private $prefix;
 
    public $connection;
    public $error;
 
    public function __construct($host, $user, $pass, $name, $port, $prefix)
    {
        $this -> host = $host;
        $this -> user = $user;
        $this -> pass = $pass;
        $this -> name = $name;
        $this -> port = $port;
        $this -> prefix = $prefix;
    }
    /* Reszta metod do obslugi bazy */
}
 
/* Kod z drugiego pliku php */
$baza = new DB($dbhost, $dbuser, $dbpass, $dbname, $dbport, $dbprefix);
[PHP] pobierz, plaintext 

I potem robisz:

[PHP] pobierz, plaintext 
print_r($GLOBALS);
[PHP] pobierz, plaintext 

i ją widzisz tak?

Wysłałeś posta 2 razy I tak, chodzi o ten drugi sposób, bo nie ma $_GLOBALS.