[Sécurité] Interférences variables de Session [Résolu]

Rodolphe_1940 · 14/10/2006, 00h18

Bonjour,

Je souhaite une explication sur l'interférence de variables que j'ai constaté.

J'avais une variable $timbros et une variable de session $_SESSION['timbros']

Pour moi celà fait deux variables différentes.

Or à un moment je me suis retrouvé dans un système défaillant, j'ai retrouvé la valeur $timbros dans la variable $_SESSION['timbros'] !

Nulle part une commande pour attribuer la valeur $timbros à la variable session.

J'ai solutionné en attribuant un des noms différents, mais je souhaite, pour ne pas commettre d'erreurs monumentales, savoir s'il y a une explication.

Je ne suis pas encore en PHP 5

Merci,
Rordolphe

Alain Dionne · 14/10/2006, 00h53

Je n'étais effectivement pas au courant de ces interférences, mais après test je suis arrivé au même problème.

Il est vrai que je n'aurai pas songé à nommer de la même manière une variable de session et une variable tout court.

Je n'ai pas d'explication à te donner, mais un constat que les choses sont ainsi. Je ne suis pas non plus sous PHP5.

francis m · 14/10/2006, 00h59

je n'ai pas d'explications sérieuses, mais j'avais déjà noté ce problème il y a quelque temps, et il y a déjà eu un post la-dessus

c'est un fait
tu ne peux l'éviter qu'en changeant le nom d'une des deux variables

is_null · 14/10/2006, 12h41

Il suffit de désactiver register_globals (avec la fonction ini_set() ou dans le fichier php.ini).

L'activer pose d'ailleurs le gros soucis de sécurité que vous imaginez si le script permet des actions d'administration si $admin=1 .... (http://domain.tld/page.php?admin=1)

kankrelune · 14/10/2006, 17h58

La désactivation de register_globals ne se fait pas avec ini_set() il faut le faire avec un fichier .htaccess contenant...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
php_flag register_globals off

@ tchaOo°

14/10/2006, 00h18	#1
Rodolphe_1940 Membre du Club Inscription : juillet 2006 Messages : 62 Détails du profil Informations personnelles : Localisation : France, Meurthe et Moselle (Lorraine) Informations forums : Inscription : juillet 2006 Messages : 62 Points : 48 Points : 48	[Sécurité] Interférences variables de Session Bonjour, Je souhaite une explication sur l'interférence de variables que j'ai constaté. J'avais une variable $timbros et une variable de session $_SESSION['timbros'] Pour moi celà fait deux variables différentes. Or à un moment je me suis retrouvé dans un système défaillant, j'ai retrouvé la valeur $timbros dans la variable $_SESSION['timbros'] ! Nulle part une commande pour attribuer la valeur $timbros à la variable session. J'ai solutionné en attribuant un des noms différents, mais je souhaite, pour ne pas commettre d'erreurs monumentales, savoir s'il y a une explication. Je ne suis pas encore en PHP 5 Merci, Rordolphe
	00

14/10/2006, 00h53	#2
Alain Dionne Nouveau Membre du Club Enseignant Inscription : janvier 2004 Messages : 60 Détails du profil Informations personnelles : Âge : 28 Localisation : Congo-Kinshasa Informations professionnelles : Activité : Enseignant Informations forums : Inscription : janvier 2004 Messages : 60 Points : 37 Points : 37	Je n'étais effectivement pas au courant de ces interférences, mais après test je suis arrivé au même problème. Il est vrai que je n'aurai pas songé à nommer de la même manière une variable de session et une variable tout court. Je n'ai pas d'explication à te donner, mais un constat que les choses sont ainsi. Je ne suis pas non plus sous PHP5. __________________ On s'amuse de rien en vieillissant, on vieillit quand on ne s'amuse plus.
	00

14/10/2006, 00h59	#3
francis m Membre émérite Inscription : juin 2002 Messages : 1 013 Détails du profil Informations forums : Inscription : juin 2002 Messages : 1 013 Points : 959 Points : 959	je n'ai pas d'explications sérieuses, mais j'avais déjà noté ce problème il y a quelque temps, et il y a déjà eu un post la-dessus c'est un fait tu ne peux l'éviter qu'en changeant le nom d'une des deux variables
	00

14/10/2006, 12h41	#4
is_null Inscrit Inscription : octobre 2006 Messages : 637 Détails du profil Informations forums : Inscription : octobre 2006 Messages : 637 Points : 690 Points : 690	Il suffit de désactiver register_globals (avec la fonction ini_set() ou dans le fichier php.ini). L'activer pose d'ailleurs le gros soucis de sécurité que vous imaginez si le script permet des actions d'administration si $admin=1 .... (http://domain.tld/page.php?admin=1)
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email