Register_globals Off
Résolu
audayls
Messages postés
373
Date d'inscription
samedi 9 juillet 2005
Statut
Membre
Dernière intervention
11 août 2008
-
12 févr. 2006 à 16:26
audayls Messages postés 373 Date d'inscription samedi 9 juillet 2005 Statut Membre Dernière intervention 11 août 2008 - 12 févr. 2006 à 17:11
audayls Messages postés 373 Date d'inscription samedi 9 juillet 2005 Statut Membre Dernière intervention 11 août 2008 - 12 févr. 2006 à 17:11
3 réponses
FhX
Messages postés
2350
Date d'inscription
mercredi 13 octobre 2004
Statut
Membre
Dernière intervention
18 avril 2015
3
12 févr. 2006 à 16:54
12 févr. 2006 à 16:54
Mais plusieurs programmeurs m'ont dit que cela était inutile car je pouvais utilisé la fonction "import_request_variables()" ...
N'importe quoi. Va falloir qu'ils relisent un peu mieux la doc...
Doc PHP.net : Note :
Bien que le paramètre <var>prefix</var> soit optionnel,
il sera généré une alerte <tt>E_NOTICE</tt>
si vous ne spécifiez pas de préfixe, ou si vous utilisez une chaîne
vide comme préfixe. C'est potentiellement un trou de sécurité.
Et oui, il faut spécifier un préfixe pour les variables.
Donc register_globals = off et import_request_variables() ne sont pas identiques.
Exemple :
<?php
if ( isset($action) ) { // Soumission de formulaire
...
}
?>
Sauf que si je rentre comme URL :
xxx.php?action=ce_que_je_veux_dedand
eh bin ca va passer quand même !
En utilisant la fonction d'import :
<?php
import_request_variables('P', 'var_');
if ( isset($var_action) ) { // Soumission de formulaire
...
}
?>
Et la, aucun risque !
Voila la différence majeur.
N'importe quoi. Va falloir qu'ils relisent un peu mieux la doc...
Doc PHP.net : Note :
Bien que le paramètre <var>prefix</var> soit optionnel,
il sera généré une alerte <tt>E_NOTICE</tt>
si vous ne spécifiez pas de préfixe, ou si vous utilisez une chaîne
vide comme préfixe. C'est potentiellement un trou de sécurité.
Et oui, il faut spécifier un préfixe pour les variables.
Donc register_globals = off et import_request_variables() ne sont pas identiques.
Exemple :
<?php
if ( isset($action) ) { // Soumission de formulaire
...
}
?>
Sauf que si je rentre comme URL :
xxx.php?action=ce_que_je_veux_dedand
eh bin ca va passer quand même !
En utilisant la fonction d'import :
<?php
import_request_variables('P', 'var_');
if ( isset($var_action) ) { // Soumission de formulaire
...
}
?>
Et la, aucun risque !
Voila la différence majeur.
audayls
Messages postés
373
Date d'inscription
samedi 9 juillet 2005
Statut
Membre
Dernière intervention
11 août 2008
12 févr. 2006 à 17:08
12 févr. 2006 à 17:08
C'est bien ce que je pensais !
(Je trouve plus simple d'utiliser "$_POST['action']" enfin c'est un avis perso ^^ )
Merci beaucoup pour cette information FhX !!
(Je valide ta réponse après car là je n'arrete pas d'obtenir des erreurs 404...)
(Je trouve plus simple d'utiliser "$_POST['action']" enfin c'est un avis perso ^^ )
Merci beaucoup pour cette information FhX !!
(Je valide ta réponse après car là je n'arrete pas d'obtenir des erreurs 404...)
audayls
Messages postés
373
Date d'inscription
samedi 9 juillet 2005
Statut
Membre
Dernière intervention
11 août 2008
12 févr. 2006 à 17:11
12 févr. 2006 à 17:11
Il fallait que la validation marche juste après mon message pour que je sois ridicule ... lol (trop tard ... )