Le vendredi 09 décembre 2005 à 20:48 +0100, Laurent Destailleur (Eldy) a écrit : > Normallement, les pb de ce genre ne peuvent plus être du à cette option > mais au fait qu'il manque dans le code le "addslashes" qui permet > d'avoir une syntax de requete ok quand le ' est présent dans la chaine. > Et dans un tel cas, il y a le pb aussi bien en register_globals à on > qu'a off.
heu.. j'ai été voir mais je ne vois qu'un hack pour magic_quote_gpc... (tant mieux d'ailleurs, car simuler un register_globals=on serait aussi dangereux que d'en avoir un "vrai" !) pour mémoire, register_global=on initialise un variable du nom de la valeur GPC avec sa valeur associée. ce qui pose(ait) problème etait alors la possibilité pour un "vilain pas beau" d'initialiser une variable à la valeur qu'il souhaitait. exemple : get http://www.idiot.com/?authenticated=1 POST user=toto&passwd=titi <?php if (!authenticated) { if (!valid_auth($user,$passwd)) { die("je ne suis la que pour les non inities"); } } echo "bravo, script kiddies"; ?> et voila ! (comme on dit en anglais) ++ Gael _______________________________________________ Dolibarr-dev mailing list [email protected] http://lists.nongnu.org/mailman/listinfo/dolibarr-dev
