Re: [Dolibarr-dev] register_global

[Rodolphe Quiedeville]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Gael Canal wrote:
> Salut à tous,
> 
> Ayant un serveur qui tourne avec register_globals = off, je tombe de ci
> de là sur des scripts faisant un usage "mixte" de register_global (en
> utilisant directement la variable, ou via un superglobal $_POST etc)
> 
> D'après vous, ne serait-il pas une bonne idée de nettoyer tout
> cela ;-) ?
> 
> l'utilisation de register_globals=on est une faille de sécurité connue
> de longue date, et la correction des scripts est vraiment très simple :
> 
> En cas d'utilisation directe de la variable $id, ils suffit d'ajouter 
> $id=$_REQUEST['id']; en début de script et c'est terminé. 
> 
> De plus, cela présente l'avantage de se débrouiller seul avec les
> POST/GET/COOKIES...
> 
> J'ai commencé à le faire pour moi, si ça vous interesse, je peux prendre
> ça en charge en douceur.

Aujourd'hui Dolibarr fonctionne très bien en register_global=off le
nettoyage a été fait il y a déjà quelque temps, il se peut tout de même
qu'il reste des pages qui pose problème, dans ce cas le mieux serait de
les signaler dans le bug tracking.

A++
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.1 (GNU/Linux)
Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org

iD8DBQFC3kABmyyHaHLx8g0RAt+0AKCjjl9e7TZV3nvZCQCOHLlAMbLNUACghP8b
XuQVCSbUrxBVS3jzyEAR+ag=
=jV7Y
-----END PGP SIGNATURE-----