Register_globals Off

Résolu
Signaler
Messages postés
373
Date d'inscription
samedi 9 juillet 2005
Statut
Membre
Dernière intervention
11 août 2008
-
Messages postés
373
Date d'inscription
samedi 9 juillet 2005
Statut
Membre
Dernière intervention
11 août 2008
-
Bonjours,

Je programme en php depuis peu, mais je suis les sages conseils des grands maitres en utilisant "register_globals Off" (grâce a un fichier ".htaccess").
Mais plusieurs programmeurs m'ont dit que cela était inutile car je pouvais utilisé la fonction "import_request_variables()" ...
Je voudrai avoir vos avis sur cette fonction car elle fait perdre "l'avantage" de "register_globals Off" non ?

3 réponses

Messages postés
2350
Date d'inscription
mercredi 13 octobre 2004
Statut
Membre
Dernière intervention
18 avril 2015
4
Mais plusieurs programmeurs m'ont dit que cela était inutile car je pouvais utilisé la fonction "import_request_variables()" ...

N'importe quoi. Va falloir qu'ils relisent un peu mieux la doc...

Doc PHP.net : Note :
Bien que le paramètre <var>prefix</var> soit optionnel,
il sera généré une alerte <tt>E_NOTICE</tt>
si vous ne spécifiez pas de préfixe, ou si vous utilisez une chaîne
vide comme préfixe. C'est potentiellement un trou de sécurité.

Et oui, il faut spécifier un préfixe pour les variables.
Donc register_globals = off et import_request_variables() ne sont pas identiques.

Exemple :

<?php
if ( isset($action) ) { // Soumission de formulaire
...
}
?>
Sauf que si je rentre comme URL :
xxx.php?action=ce_que_je_veux_dedand
eh bin ca va passer quand même !
En utilisant la fonction d'import :

<?php
import_request_variables('P', 'var_');

if ( isset($var_action) ) { // Soumission de formulaire
...
}
?>

Et la, aucun risque !

Voila la différence majeur.
Messages postés
373
Date d'inscription
samedi 9 juillet 2005
Statut
Membre
Dernière intervention
11 août 2008

C'est bien ce que je pensais !


(Je trouve plus simple d'utiliser "$_POST['action']" enfin c'est un avis perso ^^ )


Merci beaucoup pour cette information FhX !!
(Je valide ta réponse après car là je n'arrete pas d'obtenir des erreurs 404...)
Messages postés
373
Date d'inscription
samedi 9 juillet 2005
Statut
Membre
Dernière intervention
11 août 2008

Il fallait que la validation marche juste après mon message pour que je sois ridicule ... lol (trop tard ... )