| Que de complications !! | | De Mikael Chelli - Dimanche 16 Décembre 2001 à 01:35
Bravo pour ton article qui est très bien mais bon, il prend un peu la tête !! :-)
C pas un reproche, c'est juste de la fainéantise et que tu aurais du faire un pti résumé à la fin pour simplifier le tout :)
|
| Re: Que de complications !! | | De J-Pierre Dézélus - Dimanche 16 Décembre 2001 à 10:06
C'est vrai qu'au début je ne pensais pas faire aussi long, mais finalement en l'écrivant je me suis dit qu'il valait mieux être le plus exhaustif possible.
C'est un tournant très important pour PHP, il faut que chacun en prenne conscience.
|
| Re: Que de complications !! | | De Gérald ANDRE - Lundi 17 Décembre 2001 à 12:13
Salut, merci pour cet article.
Par contre, je ne vois pas en quoi la méthode utilisée pour PhpMyAdmin sécurise quoique ce soit.
Elle est utilisée pour faire tourner l'application avec register_globals=off, mais on peut toujours forcer les valeurs des variables. Il faudrait pour bien faire utiliser la fonction import_request_variables() (décrite dans ton article) pour ajouter un entête aux noms des variables.
Ou alors j'ai rien compris.
|
| Re: Que de complications !! | | De J-Pierre Dézélus - Lundi 17 Décembre 2001 à 12:44
Je n'ai pas dit que la méthode utilisée par PhpMyAdmin sécurisait les scripts, mais simplement qu'ils priviligaient l'utilisation des variables $_* quand elles existent, puis celle des variables $HTTP_*_VARS.
|
| Re: Que de complications !! | | De Gérald ANDRE - Lundi 17 Décembre 2001 à 16:58
OK. Par contre je me pose la question de ce qu'apporte ce système à la sécurisation du script que tu as donné en exemple.
Si j'écris :
if ($_POST['authentifie'])
{...}
cela ne change rien. Je peux toujours accéder à l'info.
|
| Re: Que de complications !! | | De J-Pierre Dézélus - Lundi 17 Décembre 2001 à 17:13
Oui, sauf que tu ne le feras pas !!!
$authentifie est une variable locale à ton script, elle ne dépend des données utilisateur. Tu n'as aucune raison d'aller chercher $_GET ou $_POST.
|
| Re: Que de complications !! | | De Gérald ANDRE - Lundi 17 Décembre 2001 à 17:40
>Oui, sauf que tu ne le feras pas !!!
>$authentifie est une variable locale à ton script, >elle ne dépend des données utilisateur. Tu n'as >aucune raison d'aller chercher $_GET ou $_POST.
OK je vois ce que tu veux dire. Merci. Mais le pb reste que tant que tous les serveurs n'ont pas le register à off, il va falloir trouver une autre méthode pour sécuriser le script :-(
|
| A propos de 'import_request_variables()' | | De Jérôme FIX - Lundi 17 Décembre 2001 à 18:52
Je ne suis pas sur que l'utilisation de la fonction import_request_variables() soit réellement une bonne idée.
En effet, avec les tableaux $_GET,$_POST, ... on va avoir le double de variables en mémoire et toutes en double.
|
| Re: A propos de 'import_request_variables()' | | De Gérald ANDRE - Mardi 18 Décembre 2001 à 12:03
J'espère que tu n'as pas 20ko de paramètres pour tes scripts !!! ;-)
De toute façon tu ne travailleras pas directement avec les tableaux dans tes algos. Tu vas mettre les variables dont tu as besoin dans des variables locales (les variables globales c'est pas beau dans le source).
En plus, avant que les serveurs passent en 4.1, ce n'est pas maintenant que l'on va commencer à utiliser cette fonction. Donc je retire ce que j'ai dit.
|
|