Discussion :

[phoenix_984]

Bonsoir !

je suis abonné depuis peu chez l'hébergeur JEXISTE (bon ou mauvais c'est pas ma question ;-) )

Mais j'ai remarqué après quelques jours que le register_globals est à ON ??? http://demo.jexiste.fr/

1ere question :

n'est ce pas dangeureux de laisser cela sur ON ???


2eme question :

Si il refuse de mettre register_globals = OFF, quelles sont les possibilités pour qu'une variable dans URL ne utilisable qu'avec $_GET ???



Merci beaucoup !!


Greg

[Mr N.]

et bienvenue !

1.
oui. A toi de bien programmer.

2.
En y accèdant par $_GET.

[phoenix_984]

je vais m'expliquer plus en détails.

je récupère les droits d'un utilisateur dans une table en fonction des identifiant donné par l'utilisateur.

Les différents droits sont "admin", "vip_user" et "user"

Dans le cas d'un administrateur qui se connecte $user_right sera égal à admin

dans un script php j'affiche ou non des options en fonction du droit.

Ex:

<? if ($user_right="admin"){
echo " lien vers l'administration du site";
}
?>

mais n'importe qui peu avoit accès à cet option si l'url suivante est indiquée

http://www.monsite.com/index.php?user_right=admin



Pour récupérer la valeur d'une variable je n'ai pas besoin de $_GET puisque justement register_globals est à ON.



(merci pour l'accueil chaleureux !!!!!)


Greg

[Yogui]

Salut

En effet, ça peut avoir des conséquences fâcheuses sur l'exécution de tes scripts. Peut-être peux-tu invoquer la fonction ini_set() afin de modifier la configuration en début de script (mais j'ai comme un doute) ?

[Mr N.]

Comment est défini $user_right ?
Tu peux très bien le pré-initialiser :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
 
<?php
 
$user_right = 'user'; //par defaut on est un user
if (machin) {
   $user_right = 'vip'; //On peut etre un vip
}
if (bidule) {
   $user_right = 'admin'; //On a tout les droits
}
 
?>

Du coup si tu appelles ce bout de code à chaque fois, la variable préalablement valuée par register_globals ne sera pas pris en compte, car écrasées par 'user'.

D'autres éléments de réponse sur la doc officielle :
http://php.net/register_globals

[phoenix_984]

il y a bien la fonction php_flag register_globals 0 à mettre dans le .htaccess mais j'ai une INTERNAL SERVER ERROR

[Mr N.]

les .htaccess ne sont pas acceptés chez tous les hébergeurs.

[phoenix_984]

Merci beaucoup j'ai donc résolu le problème comme Mr N. me l'avais conseillé.

Par défaut donc $user_right = user

C'était tout simple

le .htaccess ne fonctionne effectivement pas chez JEXISTE !

Merci à vous !