Gael Canal wrote:
Le vendredi 09 décembre 2005 à 20:48 +0100, Laurent Destailleur (Eldy) a
écrit :
Normallement, les pb de ce genre ne peuvent plus être du à cette option
mais au fait qu'il manque dans le code le "addslashes" qui permet
d'avoir une syntax de requete ok quand le ' est présent dans la chaine.
Et dans un tel cas, il y a le pb aussi bien en register_globals à on
qu'a off.
heu.. j'ai été voir mais je ne vois qu'un hack pour magic_quote_gpc...
Autant pour moi. Tu as raison.
Je pensais aux magic_quotes_gpc et non au register_globals.
Mea culpa.
(tant mieux d'ailleurs, car simuler un register_globals=on serait aussi
dangereux que d'en avoir un "vrai" !)
pour mémoire, register_global=on initialise un variable du nom de la
valeur GPC avec sa valeur associée.
ce qui pose(ait) problème etait alors la possibilité pour un "vilain pas
beau" d'initialiser une variable à la valeur qu'il souhaitait.
exemple :
get http://www.idiot.com/?authenticated=1
POST user=toto&passwd=titi
<?php
if (!authenticated) {
if (!valid_auth($user,$passwd)) {
die("je ne suis la que pour les non inities");
}
}
echo "bravo, script kiddies";
?>
et voila ! (comme on dit en anglais)
++
Gael
_______________________________________________
Dolibarr-dev mailing list
[email protected]
http://lists.nongnu.org/mailman/listinfo/dolibarr-dev
--
Laurent Destailleur.
---------------------------------------------------------------
EMail: [EMAIL PROTECTED]
Web: http://www.destailleur.fr
IM: IRC=Eldy, Jabber=Eldy
AWStats (Author) : http://awstats.sourceforge.net
Dolibarr (Contributor) : http//www.dolibarr.com
CVSChangeLogBuilder (Author) : http://cvschangelogb.sourceforge.net
AWBot (Author) : http://awbot.sourceforge.net
_______________________________________________
Dolibarr-dev mailing list
[email protected]
http://lists.nongnu.org/mailman/listinfo/dolibarr-dev
