[Top][All Lists]
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [Dolibarr-dev] register_global
From: |
Rodolphe Quiedeville |
Subject: |
Re: [Dolibarr-dev] register_global |
Date: |
Wed, 20 Jul 2005 14:13:53 +0200 |
User-agent: |
Debian Thunderbird 1.0.2 (X11/20050331) |
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Gael Canal wrote:
> Salut à tous,
>
> Ayant un serveur qui tourne avec register_globals = off, je tombe de ci
> de là sur des scripts faisant un usage "mixte" de register_global (en
> utilisant directement la variable, ou via un superglobal $_POST etc)
>
> D'après vous, ne serait-il pas une bonne idée de nettoyer tout
> cela ;-) ?
>
> l'utilisation de register_globals=on est une faille de sécurité connue
> de longue date, et la correction des scripts est vraiment très simple :
>
> En cas d'utilisation directe de la variable $id, ils suffit d'ajouter
> $id=$_REQUEST['id']; en début de script et c'est terminé.
>
> De plus, cela présente l'avantage de se débrouiller seul avec les
> POST/GET/COOKIES...
>
> J'ai commencé à le faire pour moi, si ça vous interesse, je peux prendre
> ça en charge en douceur.
Aujourd'hui Dolibarr fonctionne très bien en register_global=off le
nettoyage a été fait il y a déjà quelque temps, il se peut tout de même
qu'il reste des pages qui pose problème, dans ce cas le mieux serait de
les signaler dans le bug tracking.
A++
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.1 (GNU/Linux)
Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org
iD8DBQFC3kABmyyHaHLx8g0RAt+0AKCjjl9e7TZV3nvZCQCOHLlAMbLNUACghP8b
XuQVCSbUrxBVS3jzyEAR+ag=
=jV7Y
-----END PGP SIGNATURE-----