Bonjour,
Voilà plusieurs fois que je lis qu'il vaut mieux utiliser la fonction require_once() plutôt que require(), car cette dernière peut donner au pirate une opportunité d'attaque.
Mais qui peut expliquer précisément pourquoi ?
Bonjour,
Voilà plusieurs fois que je lis qu'il vaut mieux utiliser la fonction require_once() plutôt que require(), car cette dernière peut donner au pirate une opportunité d'attaque.
Mais qui peut expliquer précisément pourquoi ?
Salut g trouvé ca sur un site
http://www.pcinpact.com/forum/index....0#entry1592617
++Au meme titre que l'include cité precedement sauf qu'elle est sensible au byte null genre %00
Si par exemple on a require("/home/web/lib/".$truc.".php");
on peut poisonner truc via cookie/post/get et lui append %00 a la fin pour enlever le ".php" c'est pour cela qu'il est absolument preconisé d'utiliser require_once et des variables statiques.
Apres cela reste la sql injection qui peut mener jusqu'a une intrusion de l'os :
L'exemple parlera de lui meme
JC
Merci pour le lien jc_cornic (écossais ?)
J'ai pas tout compris mais bon ça semble confirmer que require_once() est plus fiable que require(), en effet.
cornic est breton d'origine... mais j'aime bien l'écosse
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Partager