$_SESSION=$_POST;

$_SESSION=$_POST; - PHP - Programmation

Marsh Posté le 29-08-2011 à 11:54:41    

Hello à tous,
 
Je suis en train d'auditer du code php de développeur web junior et je viens de tomber sur ca :  
 
$_SESSION=$_POST;
 
Il me pique un peu les yeux surtout coté sécurité.
 
Y'a qu'a moi que ca pique les yeux ?
 
Merci


---------------
Du tofu en Alsace : www.tofuhong.com
Reply

Marsh Posté le 29-08-2011 à 11:54:41   

Reply

Marsh Posté le 29-08-2011 à 14:59:59    

C'est vrai que c'est moche. C'est surtout inutile. $_post est déjà globale, on peut se demander à quoi ça a pu servir au gars qui a codé ça ?
Niveau secu, c'est un peu la porte ouverte à tout type d'injection sil e contenu des variables n'est pas checké quelque part. Ce qui craint le plus c'est de pouvoir forcer des variables de session en forçant un $post mais encore faut il avoir le reste du code pour savoir quelles variables de session y sont utilisées.

Reply

Marsh Posté le 29-08-2011 à 23:44:36    

Bon ca me rassure, y'a pas que moi qui trouve que ca ressemble à une faille de sécu ....
 
L'idée du DW etait de garder les informations posté entre 2 posts ... mouais bof ....


---------------
Du tofu en Alsace : www.tofuhong.com
Reply

Marsh Posté le 30-08-2011 à 01:09:59    

T'as qu'à lui répondre :
 
Never trust the user input, n00b !


---------------
Directeur Technique (CTO)
Reply

Marsh Posté le 30-08-2011 à 08:05:59    

c'est aussi optimiste de penser que $_SESSION est vide. Surtout si son code doit s'intégrer dans autre chose.

 


A la limite, mettre dans $_SESSION['post'] après avoir checké les données ?


Message édité par art_dupond le 30-08-2011 à 08:11:49

---------------
oui oui
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed