developpeur
 24581 
|  Posté : 15-09-2003 11:47
- Si votre NPDS tourne avec l'option (php.ini) registrar_global=on ALORS
- Si votre NPDS est à la racine de votre Web ALORS
- Si vos utilisateurs ont accès sur le serveur d'hébergement à une zone de type home/mon_membre ALORS
==> Alors ya un petit problème avec certains modules (archives-stories par exemple) qui pourrait permettre d'inclure un faux archives-stories.conf.php
LE P1 de npds 5.0 corrigera cela mais plus générallement les concepteurs de modules peuvent éliminer ce risque (faible) en incluant les lignes suivantes au DEBUT de leur module :
if (strstr($ModPath,"..") || strstr($ModStart,"..") || stristr($ModPath, "script") || stristr($ModPath, "cookie") || stristr($ModPath, "!iframe!") || stristr($ModPath, "applet") || stristr($ModPath, "object") || stristr($ModPath, "meta") || stristr($ModStart, "script") || stristr($ModStart, "cookie") || stristr($ModStart, "!iframe!") || stristr($ModStart, "applet") || stristr($ModStart, "object") || stristr($ModStart, "meta")) {
die();
}
Sur un hébergement classique, le risque est inexistant (enfin d'après moi)
Voilu |
