[Top][All Lists]
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [Dolibarr-dev] Propal 'Note'
|
From: |
Gael Canal |
|
Subject: |
Re: [Dolibarr-dev] Propal 'Note' |
|
Date: |
Fri, 09 Dec 2005 22:43:35 +0100 |
Le vendredi 09 décembre 2005 à 20:48 +0100, Laurent Destailleur (Eldy) a
écrit :
> Normallement, les pb de ce genre ne peuvent plus être du à cette option
> mais au fait qu'il manque dans le code le "addslashes" qui permet
> d'avoir une syntax de requete ok quand le ' est présent dans la chaine.
> Et dans un tel cas, il y a le pb aussi bien en register_globals à on
> qu'a off.
heu.. j'ai été voir mais je ne vois qu'un hack pour magic_quote_gpc...
(tant mieux d'ailleurs, car simuler un register_globals=on serait aussi
dangereux que d'en avoir un "vrai" !)
pour mémoire, register_global=on initialise un variable du nom de la
valeur GPC avec sa valeur associée.
ce qui pose(ait) problème etait alors la possibilité pour un "vilain pas
beau" d'initialiser une variable à la valeur qu'il souhaitait.
exemple :
get http://www.idiot.com/?authenticated=1
POST user=toto&passwd=titi
<?php
if (!authenticated) {
if (!valid_auth($user,$passwd)) {
die("je ne suis la que pour les non inities");
}
}
echo "bravo, script kiddies";
?>
et voila ! (comme on dit en anglais)
++
Gael