|
From: | Laurent Destailleur (Eldy) |
Subject: | Re: [Dolibarr-dev] Propal 'Note' |
Date: | Fri, 09 Dec 2005 23:17:29 +0100 |
User-agent: | Mozilla Thunderbird 1.0.5 (Windows/20050711) |
Gael Canal wrote:
Le vendredi 09 décembre 2005 à 20:48 +0100, Laurent Destailleur (Eldy) a écrit :Normallement, les pb de ce genre ne peuvent plus être du à cette option mais au fait qu'il manque dans le code le "addslashes" qui permet d'avoir une syntax de requete ok quand le ' est présent dans la chaine. Et dans un tel cas, il y a le pb aussi bien en register_globals à on qu'a off.heu.. j'ai été voir mais je ne vois qu'un hack pour magic_quote_gpc...
Autant pour moi. Tu as raison. Je pensais aux magic_quotes_gpc et non au register_globals. Mea culpa.
(tant mieux d'ailleurs, car simuler un register_globals=on serait aussi dangereux que d'en avoir un "vrai" !) pour mémoire, register_global=on initialise un variable du nom de la valeur GPC avec sa valeur associée. ce qui pose(ait) problème etait alors la possibilité pour un "vilain pas beau" d'initialiser une variable à la valeur qu'il souhaitait. exemple : get http://www.idiot.com/?authenticated=1 POST user=toto&passwd=titi<?phpif (!authenticated) { if (!valid_auth($user,$passwd)) { die("je ne suis la que pour les non inities"); } } echo "bravo, script kiddies"; ?> et voila ! (comme on dit en anglais) ++ Gael _______________________________________________ Dolibarr-dev mailing list address@hidden http://lists.nongnu.org/mailman/listinfo/dolibarr-dev
-- Laurent Destailleur. --------------------------------------------------------------- EMail: address@hidden Web: http://www.destailleur.fr IM: IRC=Eldy, Jabber=Eldy AWStats (Author) : http://awstats.sourceforge.net Dolibarr (Contributor) : http//www.dolibarr.com CVSChangeLogBuilder (Author) : http://cvschangelogb.sourceforge.net AWBot (Author) : http://awbot.sourceforge.net
[Prev in Thread] | Current Thread | [Next in Thread] |