Do not use <Bad PHP applications> !

Submitted by pounard on Tue, 12/23/2008 - 14:47

<?php
    foreach ($_POST as $key => $value) $$key = $value;
    foreach ($_GET as $key => $value) $$key = $value;
?>

No comment..

This code comes from http://thelia.fr, before using it, patch it!

#1 – register_globals en deux lignes

regilero (not verified) – On Tue, 12/23/2008 - 15:00.

vive la sécurité!

#2 – Ceci dit...

pounard – On Wed, 12/24/2008 - 11:48.

... ils ont l'air d'être conscients du danger (enfin j'espère).



D'après un développeur de chez eux, ils sont en train de refondre une partie du soft (ce qui est pas du luxe, croyez moi..).



Mise à part ça, je vous passe quand même les détails, du genre l'injection SQL dans le formulaire de login, ça tabasse! Ils sont prévenus maintenant, c'est à eux d'améliorer la chose.

#3 – Ce n'est pas l'équivalent

F-eeks (not verified) – On Mon, 01/05/2009 - 12:49.

Ce n'est pas l'équivalent de

<?php
extract($_POST);
extract($_GET);
?>

?

En soi, si on écrit ces instructions avant toutes les autres déclarations de variables, ça ne pose pas de problème particulier, les écrasement sont évités.

C'est tout de même pas terrible, donc à éviter en effet.

#4 – C'est effectivement bien la

pounard – On Tue, 01/06/2009 - 09:44.

C'est effectivement bien la même chose que extract(). Techniquement, ça ressemble beaucoup à une émulation du register_globals (c'est mal!).

Post new comment

The content of this field is kept private and will not be shown publicly.
  • Web page addresses and e-mail addresses turn into links automatically.
  • Allowed HTML tags: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Lines and paragraphs break automatically.
  • Use [fn]...[/fn] (or <fn>...</fn>) to insert automatically numbered footnotes.
Q
C
R
u
P
f
Enter the code without spaces and pay attention to upper/lower case.