[grande conversation à laquelle j'apporte mon grain de sable]
Si la BS le fait, pas besoin de le faire.
Si le flag est à OFF, pas besoin d'en rajouter non plus....
Rod
[grande conversation à laquelle j'apporte mon grain de sable]
Si la BS le fait, pas besoin de le faire.
Si le flag est à OFF, pas besoin d'en rajouter non plus....
Rod
[grande conversation à laquelle j'apporte mon grain de sable]
Si la BS le fait, pas besoin de le faire.
Si le flag est à OFF, pas besoin d'en rajouter non plus....
Rod
WebRod wrote:[grande conversation à laquelle j'apporte mon grain de sable]Si la BS le fait, pas besoin de le faire.
Si le flag est à OFF, pas besoin d'en rajouter non plus....
Oui ok, bien...
La seule chose que tu oublies c'est qu'on (en tant que créateur du
script) ne sommes pas toujours en contrôle (d'ailleur c'est aucunement
notre devoir) l'état de tel ou tel flag...
Rod
S.
WebRod wrote:
[grande conversation à laquelle j'apporte mon grain de sable]
Si la BS le fait, pas besoin de le faire.
Si le flag est à OFF, pas besoin d'en rajouter non plus....
Oui ok, bien...
La seule chose que tu oublies c'est qu'on (en tant que créateur du
script) ne sommes pas toujours en contrôle (d'ailleur c'est aucunement
notre devoir) l'état de tel ou tel flag...
Rod
S.
WebRod wrote:[grande conversation à laquelle j'apporte mon grain de sable]Si la BS le fait, pas besoin de le faire.
Si le flag est à OFF, pas besoin d'en rajouter non plus....
Oui ok, bien...
La seule chose que tu oublies c'est qu'on (en tant que créateur du
script) ne sommes pas toujours en contrôle (d'ailleur c'est aucunement
notre devoir) l'état de tel ou tel flag...
Rod
S.
exact, il est vrai que dans mon cas je ne développe que pour des sociétés
qui ont leur propre serveur et où j'ai la possibilité de faire changer la
config.
C'est vrai que si tu développes un script pour le commercialiser ou pour le
publier au plus grand nombre, mieux vaut sécuriser un max, et la vision des
choses est différente
exact, il est vrai que dans mon cas je ne développe que pour des sociétés
qui ont leur propre serveur et où j'ai la possibilité de faire changer la
config.
C'est vrai que si tu développes un script pour le commercialiser ou pour le
publier au plus grand nombre, mieux vaut sécuriser un max, et la vision des
choses est différente
exact, il est vrai que dans mon cas je ne développe que pour des sociétés
qui ont leur propre serveur et où j'ai la possibilité de faire changer la
config.
C'est vrai que si tu développes un script pour le commercialiser ou pour le
publier au plus grand nombre, mieux vaut sécuriser un max, et la vision des
choses est différente
Oui, il est débile de faire d'abord un SELECT pour savoir si on a déjà
l'enregistrement et faire un INSERT s'il existe pas et un UPDATE s'il
existe, parce que la base de données est PREVUE POUR LE GERER.
Tout à fait, c'est bien pour cela que j'ai choisi cet exemple ;)
On est d'accord qu'il est inutile de faire quelquechose dans la bd si celle
ci est prévue pour le gérer.
Pourquoi php ne pourrait -il pas gérer une partie de la sécurité?
Le problème que je soulève est bien celui-ci : il pourrait mais il ne
Et si t'elle était le cas, pourquoi rajouter un
niveau de sécurité au niveau
Si tel était le cas, ce serait inutile. Ce n'est pas le cas. Nous sommes
TOUT A FAIT! C'est ce que je voulais dire, le flag à On est une grosse
connerie qui oblige beaucoup trop à sécuriser ses scripts.
initialisant les variables au début de chaque script, mais justement, ce que
je veux dire, c'est que cela n'est plus utile si c'est à OFF
De toute façon, ce flag à ON etait une aberration.
Quel idée d'aller initialiser des variables!!
Je présume que tu voulais dire "d'aller ajouter des variables externes
D'ici là, tout développeur qui n'initialise pas ses variables
correctement s'expose à la faille.
C'est cà, pour le moment c'est indispensable. (à moins d'utiliser le petit
script que je donnais plus haut et qui annule l'initialisation des
variables)
C'est une solution en effet, mais je ne suis pas d'accord avec toi sur ce
Oui, il est débile de faire d'abord un SELECT pour savoir si on a déjà
l'enregistrement et faire un INSERT s'il existe pas et un UPDATE s'il
existe, parce que la base de données est PREVUE POUR LE GERER.
Tout à fait, c'est bien pour cela que j'ai choisi cet exemple ;)
On est d'accord qu'il est inutile de faire quelquechose dans la bd si celle
ci est prévue pour le gérer.
Pourquoi php ne pourrait -il pas gérer une partie de la sécurité?
Le problème que je soulève est bien celui-ci : il pourrait mais il ne
Et si t'elle était le cas, pourquoi rajouter un
niveau de sécurité au niveau
Si tel était le cas, ce serait inutile. Ce n'est pas le cas. Nous sommes
TOUT A FAIT! C'est ce que je voulais dire, le flag à On est une grosse
connerie qui oblige beaucoup trop à sécuriser ses scripts.
initialisant les variables au début de chaque script, mais justement, ce que
je veux dire, c'est que cela n'est plus utile si c'est à OFF
De toute façon, ce flag à ON etait une aberration.
Quel idée d'aller initialiser des variables!!
Je présume que tu voulais dire "d'aller ajouter des variables externes
D'ici là, tout développeur qui n'initialise pas ses variables
correctement s'expose à la faille.
C'est cà, pour le moment c'est indispensable. (à moins d'utiliser le petit
script que je donnais plus haut et qui annule l'initialisation des
variables)
C'est une solution en effet, mais je ne suis pas d'accord avec toi sur ce
Oui, il est débile de faire d'abord un SELECT pour savoir si on a déjà
l'enregistrement et faire un INSERT s'il existe pas et un UPDATE s'il
existe, parce que la base de données est PREVUE POUR LE GERER.
Tout à fait, c'est bien pour cela que j'ai choisi cet exemple ;)
On est d'accord qu'il est inutile de faire quelquechose dans la bd si celle
ci est prévue pour le gérer.
Pourquoi php ne pourrait -il pas gérer une partie de la sécurité?
Le problème que je soulève est bien celui-ci : il pourrait mais il ne
Et si t'elle était le cas, pourquoi rajouter un
niveau de sécurité au niveau
Si tel était le cas, ce serait inutile. Ce n'est pas le cas. Nous sommes
TOUT A FAIT! C'est ce que je voulais dire, le flag à On est une grosse
connerie qui oblige beaucoup trop à sécuriser ses scripts.
initialisant les variables au début de chaque script, mais justement, ce que
je veux dire, c'est que cela n'est plus utile si c'est à OFF
De toute façon, ce flag à ON etait une aberration.
Quel idée d'aller initialiser des variables!!
Je présume que tu voulais dire "d'aller ajouter des variables externes
D'ici là, tout développeur qui n'initialise pas ses variables
correctement s'expose à la faille.
C'est cà, pour le moment c'est indispensable. (à moins d'utiliser le petit
script que je donnais plus haut et qui annule l'initialisation des
variables)
C'est une solution en effet, mais je ne suis pas d'accord avec toi sur ce
Si tel était le cas, ce serait inutile. Ce n'est pas le cas. Nous sommes
bien d'accord sur les conclusions mais pour parler prolog, les
hypothèses que tu considères comme prédicats sont fausses.
En l'occurence, je dis que SI le flag est à OFF, y à moins de problème de
Tout ce
que je souligne c'est qu'il y a beaucoup de plateformes dans la vraie vie
qui sont en register_globals à ON. On y peut rien, c'est un fait. Donc il
faut en tenir compte, donc initialiser ses variables,
protection d'une manière ou d'une autre (comme ta bidouille, qui est une
bonne idée, mais possède l'inconvénient de devoir être faite sur
**chaque** script public, donc on risque d'en oublier, ou alors il
faut le coller en auto_prepend).
Ben encore uns fois, dans mon cas, TOUS mes scripts, je dis bien TOUS, font
PHP, tu ne peux pas
te permettre de ne pas initialiser tes variables à une valeur connue et
déterminée. En C parce que la valeur sera aléatoire (plus précisement : ça
dépend du compilo et de l'OS), et en PHP parce que tu ne veux pas
nécessairement te pêter un E_WARNING toutes les deux lignes (et que je ne
passe pas en production un script qui ne tourne pas en E_ALL).
De toute façon, ce flag à ON etait une aberration.
C'est une affirmation très discutable qui a déjà fait spinner beaucoup
d'électrons. Dès lors que tu veux faire du filtrage intelligent pour
éviter les injections SQL ou les attaques de type XSS stockées, tu dois
tripoter le contenu de tes variables venant du monde extérieur. Donc que
tu ailles les pêcher dans un HTTP_ENV_GETVARS ou directement par leur nom,
aucune différence.
Quel idée d'aller initialiser des variables!!
Je présume que tu voulais dire "d'aller ajouter des variables externes
dans l'espace de nommage sans intervention du développeur".
Personnellement, je trouve ça très pratique et beaucoup plus propre en
portée des variables, mais rendu inexploitable pour les raisons de
sécurité données ci-dessus.
La vraie solution, c'etait de remonter le niveau d'erreur
en cas de variable non initialisée
D'ici là, tout développeur qui n'initialise pas ses variables
correctement s'expose à la faille.
C'est cà, pour le moment c'est indispensable. (à moins d'utiliser le
petit
script que je donnais plus haut et qui annule l'initialisation des
variables)
C'est une solution en effet, mais je ne suis pas d'accord avec toi sur ce
qu'il fait : il n'annule pas, il surcharge/réaffecte si la variable
existe, ou il initialise si elle n'existe pas ;-)
Euh je ne comprends pas?
Si tel était le cas, ce serait inutile. Ce n'est pas le cas. Nous sommes
bien d'accord sur les conclusions mais pour parler prolog, les
hypothèses que tu considères comme prédicats sont fausses.
En l'occurence, je dis que SI le flag est à OFF, y à moins de problème de
Tout ce
que je souligne c'est qu'il y a beaucoup de plateformes dans la vraie vie
qui sont en register_globals à ON. On y peut rien, c'est un fait. Donc il
faut en tenir compte, donc initialiser ses variables,
protection d'une manière ou d'une autre (comme ta bidouille, qui est une
bonne idée, mais possède l'inconvénient de devoir être faite sur
**chaque** script public, donc on risque d'en oublier, ou alors il
faut le coller en auto_prepend).
Ben encore uns fois, dans mon cas, TOUS mes scripts, je dis bien TOUS, font
PHP, tu ne peux pas
te permettre de ne pas initialiser tes variables à une valeur connue et
déterminée. En C parce que la valeur sera aléatoire (plus précisement : ça
dépend du compilo et de l'OS), et en PHP parce que tu ne veux pas
nécessairement te pêter un E_WARNING toutes les deux lignes (et que je ne
passe pas en production un script qui ne tourne pas en E_ALL).
De toute façon, ce flag à ON etait une aberration.
C'est une affirmation très discutable qui a déjà fait spinner beaucoup
d'électrons. Dès lors que tu veux faire du filtrage intelligent pour
éviter les injections SQL ou les attaques de type XSS stockées, tu dois
tripoter le contenu de tes variables venant du monde extérieur. Donc que
tu ailles les pêcher dans un HTTP_ENV_GETVARS ou directement par leur nom,
aucune différence.
Quel idée d'aller initialiser des variables!!
Je présume que tu voulais dire "d'aller ajouter des variables externes
dans l'espace de nommage sans intervention du développeur".
Personnellement, je trouve ça très pratique et beaucoup plus propre en
portée des variables, mais rendu inexploitable pour les raisons de
sécurité données ci-dessus.
La vraie solution, c'etait de remonter le niveau d'erreur
en cas de variable non initialisée
D'ici là, tout développeur qui n'initialise pas ses variables
correctement s'expose à la faille.
C'est cà, pour le moment c'est indispensable. (à moins d'utiliser le
petit
script que je donnais plus haut et qui annule l'initialisation des
variables)
C'est une solution en effet, mais je ne suis pas d'accord avec toi sur ce
qu'il fait : il n'annule pas, il surcharge/réaffecte si la variable
existe, ou il initialise si elle n'existe pas ;-)
Euh je ne comprends pas?
Si tel était le cas, ce serait inutile. Ce n'est pas le cas. Nous sommes
bien d'accord sur les conclusions mais pour parler prolog, les
hypothèses que tu considères comme prédicats sont fausses.
En l'occurence, je dis que SI le flag est à OFF, y à moins de problème de
Tout ce
que je souligne c'est qu'il y a beaucoup de plateformes dans la vraie vie
qui sont en register_globals à ON. On y peut rien, c'est un fait. Donc il
faut en tenir compte, donc initialiser ses variables,
protection d'une manière ou d'une autre (comme ta bidouille, qui est une
bonne idée, mais possède l'inconvénient de devoir être faite sur
**chaque** script public, donc on risque d'en oublier, ou alors il
faut le coller en auto_prepend).
Ben encore uns fois, dans mon cas, TOUS mes scripts, je dis bien TOUS, font
PHP, tu ne peux pas
te permettre de ne pas initialiser tes variables à une valeur connue et
déterminée. En C parce que la valeur sera aléatoire (plus précisement : ça
dépend du compilo et de l'OS), et en PHP parce que tu ne veux pas
nécessairement te pêter un E_WARNING toutes les deux lignes (et que je ne
passe pas en production un script qui ne tourne pas en E_ALL).
De toute façon, ce flag à ON etait une aberration.
C'est une affirmation très discutable qui a déjà fait spinner beaucoup
d'électrons. Dès lors que tu veux faire du filtrage intelligent pour
éviter les injections SQL ou les attaques de type XSS stockées, tu dois
tripoter le contenu de tes variables venant du monde extérieur. Donc que
tu ailles les pêcher dans un HTTP_ENV_GETVARS ou directement par leur nom,
aucune différence.
Quel idée d'aller initialiser des variables!!
Je présume que tu voulais dire "d'aller ajouter des variables externes
dans l'espace de nommage sans intervention du développeur".
Personnellement, je trouve ça très pratique et beaucoup plus propre en
portée des variables, mais rendu inexploitable pour les raisons de
sécurité données ci-dessus.
La vraie solution, c'etait de remonter le niveau d'erreur
en cas de variable non initialisée
D'ici là, tout développeur qui n'initialise pas ses variables
correctement s'expose à la faille.
C'est cà, pour le moment c'est indispensable. (à moins d'utiliser le
petit
script que je donnais plus haut et qui annule l'initialisation des
variables)
C'est une solution en effet, mais je ne suis pas d'accord avec toi sur ce
qu'il fait : il n'annule pas, il surcharge/réaffecte si la variable
existe, ou il initialise si elle n'existe pas ;-)
Euh je ne comprends pas?
Justement, quand à partir de la 4.x.x les nouvelles instalations de php
étaient livrées par défaut avec register_globals=Off, ça a foutu un beau
boxon dans beaucoup de scripts. Dans les miens, ça n'a rien changé parce
que ma fonction de filtrage allait chercher dans $HTTP_ENV_GETVARS (et
POSTVARS tant que $_REQUEST n'existait pas) et je n'ai pas changé une
seule ligne de code pour passer de l'un à l'autre. Chez d'autres, ça a été
un joyeux souk.
Justement, quand à partir de la 4.x.x les nouvelles instalations de php
étaient livrées par défaut avec register_globals=Off, ça a foutu un beau
boxon dans beaucoup de scripts. Dans les miens, ça n'a rien changé parce
que ma fonction de filtrage allait chercher dans $HTTP_ENV_GETVARS (et
POSTVARS tant que $_REQUEST n'existait pas) et je n'ai pas changé une
seule ligne de code pour passer de l'un à l'autre. Chez d'autres, ça a été
un joyeux souk.
Justement, quand à partir de la 4.x.x les nouvelles instalations de php
étaient livrées par défaut avec register_globals=Off, ça a foutu un beau
boxon dans beaucoup de scripts. Dans les miens, ça n'a rien changé parce
que ma fonction de filtrage allait chercher dans $HTTP_ENV_GETVARS (et
POSTVARS tant que $_REQUEST n'existait pas) et je n'ai pas changé une
seule ligne de code pour passer de l'un à l'autre. Chez d'autres, ça a été
un joyeux souk.
Et bien ton code va pas passer le passage à PHP5 avec le php.ini par défaut.
1) m'en fous, avant que je télécharge php5 il a se passer de l'eau sous
Et bien ton code va pas passer le passage à PHP5 avec le php.ini par défaut.
1) m'en fous, avant que je télécharge php5 il a se passer de l'eau sous
Et bien ton code va pas passer le passage à PHP5 avec le php.ini par défaut.
1) m'en fous, avant que je télécharge php5 il a se passer de l'eau sous
1) m'en fous, avant que je télécharge php5 il a se passer de l'eau sous
les ponts
2) pousserais tu la démonstration jusqu'à émettre une raison possible du
"pourquoi" illustrant cette affirmation de type devinatoire (vu que tu ne
connais pas mon code) ?
1) m'en fous, avant que je télécharge php5 il a se passer de l'eau sous
les ponts
2) pousserais tu la démonstration jusqu'à émettre une raison possible du
"pourquoi" illustrant cette affirmation de type devinatoire (vu que tu ne
connais pas mon code) ?
1) m'en fous, avant que je télécharge php5 il a se passer de l'eau sous
les ponts
2) pousserais tu la démonstration jusqu'à émettre une raison possible du
"pourquoi" illustrant cette affirmation de type devinatoire (vu que tu ne
connais pas mon code) ?
C'est dommage pour toi.
PHP5 n'active pas par défaut les tableaux du type $HTTP_GET_VARS, mais
uniquement ceux du type $_GET.
D'ailleurs, tu dis utiliser $HTTP_ENV_GETVARS, qui n'existe pas.
En effet, ma vitesse de frappe clavier est inversement proportionnelle au
C'est dommage pour toi.
PHP5 n'active pas par défaut les tableaux du type $HTTP_GET_VARS, mais
uniquement ceux du type $_GET.
D'ailleurs, tu dis utiliser $HTTP_ENV_GETVARS, qui n'existe pas.
En effet, ma vitesse de frappe clavier est inversement proportionnelle au
C'est dommage pour toi.
PHP5 n'active pas par défaut les tableaux du type $HTTP_GET_VARS, mais
uniquement ceux du type $_GET.
D'ailleurs, tu dis utiliser $HTTP_ENV_GETVARS, qui n'existe pas.
En effet, ma vitesse de frappe clavier est inversement proportionnelle au
