From: Jandia Cyril (cjandia@logfi.fr)
Date: 11/04/2002 - 12:40
(Complément)
> De : Jandia Cyril
> À : xml-tech@xmlfr.org
> Objet : [xml-tech] RE: [xml-tech] Re: [xml-tech] génération code PHP
> dans HTML
>
> [...]
>
> Cela devrait effectivement convenir pour répondre à la question de Miguel;
> Mmmm.. une remarque cependant... liée à la la sécurité !
>
> ... produire des hyperliens de la forme <a href="...<?(du code
> PHP)?>">...</a> me semble être dangereux en ce sens que cela pourrait être
> pris (par "certains"...) comme une invitation à trafiquer de telles URLs
> présentées dans le navigateur.
>
> En effet, je laisse Miguel juge des utilisations détournées (et ainsi
> potentielles) de commandes telles que [system] sur son site...
>
> ... A bon(s) entendeur(s)... ;-)
J'oubliais : même si vous décidez malgré tt de procéder de la sorte, à tout
le moins, je conseillerais vivement de vérifier que le [safe mode PHP]
suffit à vous protéger du type d'attaque que j'ai évoqué :
[safe mode PHP]
http://www.php.net/manual/fr/features.safe-mode.php
> [...]
Cordialement,
Cyril Jandia
--
Devenez redacteur <XML>fr et contribuez au developpement du
xml francophone (http://xmlfr.org/infos/redacteurs/) !
Liste de diffusion "xml-tech@xmlfr.org" (http://xmlfr.org).
Cette liste est a votre disposition pour discuter en francais de
tout sujet technique lie a XML.
Pour resilier votre abonnement, envoyez un message contenant
la commande "unsubscribe" a xml-tech-request@xmlfr.org
(mailto:xml-tech-request@xmlfr.org?Subject=unsubscribe)
Archive générée par hypermail 2.1.3 le 28/06/2004 - 11:06 UTC
webmaster@xmlfr.org
| 
