Discussion :

[kileak]

Salut,

j'ai besoin d'une confirmation.
Je viens de découvrir (au bout de 3 ans faut le faire !) qu'il y a collision entre variable normale et session si elles portent le même nom :

exemple :

Page X :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$msg = "toto" ;

Page Y :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
$sessionMsg = isset($_SESSION['msg']) ? $_SESSION['msg']: "";
 
if ( isset($_SESSION['msg']) ) echo $sessionMsg ;

résultat :

toto

$msg est considéré comme l'identique de la variable $_SESSION['msg'].

Je ne m'en étais jamais rendu compte car je ne fais jamais comme ça.
Pour gagner du temps, j'ai bidouillé un truc et voilà le bug.

Est-ce j'ai bien compris ou est-ce une autre astuce qui m'échappe ?

merci pour votre éclairage !

à+

[julp]

La directive register_globals ne serait-elle pas sur On (voir phpinfo ou php.ini) ?


Julp.

[kileak]

La directive register_globals ne serait-elle pas sur On (voir phpinfo ou php.ini) ?


Julp.

Sur mon OVH Mutualisé, oui effectivement !
Je savais que c'était un paramétrage de ce genre mais lequel...

beaucoup

[alain31tl]

Salut

Une variable session (php) demeure tant que le navigateur n'est pas fermé.
Si elle doit être remplaçée par une autre et en cours d'application, elle doit être détruite auparavant.
Par conséquent, il convient de bien distinguer les variables enregistrées en session, et celles (normales) qui sont traitées ou circulent dans l'application en leur donnant des noms différents.
Celà peut générer effectivement des bug de traitement .... j'ai aussi vécu l'expérience sur une application complexe.

Je vais te donner un simple exemple:

Un utilisateur se connecte, s'indentifie sous le nom de "Martin", ceci déclenche une session où sera enregistré le nom comme étant Martin.

Dans ton application, tu as par exemple un formulaire qui te permet d'envoyer un message à une autre personne.
Tu sélectionnes un autre nom (Dupond) dans un select et tu valides.
Ton script d'injection attribuera ce message à Martin, et non pas Dupond.

[kileak]

Salut

Une variable session (php) demeure tant que le navigateur n'est pas fermé.
Si elle doit être remplaçée par une autre et en cours d'application, elle doit être détruite auparavant.
Par conséquent, il convient de bien distinguer les variables enregistrées en session, et celles (normales) qui sont traitées ou circulent dans l'application en leur donnant des noms différents.
Celà peut générer effectivement des bug de traitement .... j'ai aussi vécu l'expérience sur une application complexe.

Je vais te donner un simple exemple:

Un utilisateur se connecte, s'indentifie sous le nom de "Martin", ceci déclenche une session où sera enregistré le nom comme étant Martin.

Dans ton application, tu as par exemple un formulaire qui te permet d'envoyer un message à une autre personne.
Tu sélectionnes un autre nom (Dupond) dans un select et tu valides.
Ton script d'injection attribuera ce message à Martin, et non pas Dupond.

Merci. En fait, j'ai très bien compris le principe des sessions mais c'était plus un prob de syntaxe. Dans mon esprit $msg et $_SESSION['msg'] étaient deux variables différentes.
Et bien non, pas si register_globals est à ON !
Dans ce cas, c'est kif kif et c'est là que je me suis fait piéger.



à+