Discussion :

[istreen]

Bonjour je suis pas codeur, mais voila le code source de mon index.php d'un des mes sites, et j'aimerais savoir si il es codé en register globall off.

je n'ai cité que le bout de code php pour l'index.php

<?php

// ici mettre en global la variable $page_principale

//Global $page_principale;

// si toujours erreur dÈcommenter la ligne ci-dessous et commenter celle-ci dessus

$page_principale = 'main';



if (eregi("fr_", $page)) {

$cat = "cat_fr/";

}

else{

$cat = "";

}

if(eregi("http://", $page)){

?>

<script>

top.location.replace ('<?php echo $page; ?>');

</script>

<?php

}

$page = ereg_replace (".htm", "", $page);



if($page=="") $page=$page_principale;

if(@!include($cat.$page.".php")){

if(@!include($cat.$page_principale.".php")){

include($page_principale.".php");

}

}

?>

Merci de dire si tout est ok.

[Mr N.]

tout n'est pas ok

tu repose sur register_globals on
tu utilise @ qui est à éviter autant que faire se peut.
tu permet une attaque de type XSS dans ton code javascript

[istreen]

C'est gentil, que doit faire alors ?
modifier quoi ?

Merci d'avoir pris le temps et de repondre aussi vite.

[istreen]

la personne qui ma codé ca a une protection xxx4 mais pas moi :'(
Pour qui veulent savoir c'est un package apache ou compilé avec apache.
Qui securise le serveur je pense.

Avis aux experts en securité.

[Kioob]

Euh... avoir un "module de sécurité" supplémentaire n'autorise pas pour autant à coder comme un goret.
D'autant plus que ça m'étonnerait que son module miracle couvre ce genre de trucs.