Do not use <Bad PHP applications> !

Submitted by pounard on mar, 12/23/2008 - 14:47

<?php
    foreach ($_POST as $key => $value) $$key = $value;
    foreach ($_GET as $key => $value) $$key = $value;
?>

No comment..

This code comes from http://thelia.fr, before using it, patch it!

#1 – register_globals en deux lignes

regilero (non vérifié) – On mar, 12/23/2008 - 15:00.

vive la sécurité!

#2 – Ceci dit...

pounard – On mer, 12/24/2008 - 11:48.

... ils ont l'air d'être conscients du danger (enfin j'espère).



D'après un développeur de chez eux, ils sont en train de refondre une partie du soft (ce qui est pas du luxe, croyez moi..).



Mise à part ça, je vous passe quand même les détails, du genre l'injection SQL dans le formulaire de login, ça tabasse! Ils sont prévenus maintenant, c'est à eux d'améliorer la chose.

#3 – Ce n'est pas l'équivalent

F-eeks (non vérifié) – On lun, 01/05/2009 - 12:49.

Ce n'est pas l'équivalent de

<?php
extract($_POST);
extract($_GET);
?>

?

En soi, si on écrit ces instructions avant toutes les autres déclarations de variables, ça ne pose pas de problème particulier, les écrasement sont évités.

C'est tout de même pas terrible, donc à éviter en effet.

#4 – C'est effectivement bien la

pounard – On mar, 01/06/2009 - 09:44.

C'est effectivement bien la même chose que extract(). Techniquement, ça ressemble beaucoup à une émulation du register_globals (c'est mal!).

Poster un nouveau commentaire

Le contenu de ce champ ne sera pas montré publiquement.
  • Les adresses de pages web et de messagerie électronique sont transformées en liens automatiquement.
  • Allowed HTML tags: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Use [fn]...[/fn] (or <fn>...</fn>) to insert automatically numbered footnotes.
T
d
x
q
9
B
Enter the code without spaces and pay attention to upper/lower case.