[Sécurité] Verifier et securisé mon code

Version imprimable

17/01/2006, 17h27
istreen

[Sécurité] Verifier et securisé mon code

Bonjour je suis pas codeur, mais voila le code source de mon index.php d'un des mes sites, et j'aimerais savoir si il es codé en register globall off.

je n'ai cité que le bout de code php pour l'index.php

Citation:

<?php

// ici mettre en global la variable $page_principale

//Global $page_principale;

// si toujours erreur dÈcommenter la ligne ci-dessous et commenter celle-ci dessus

$page_principale = 'main';

if (eregi("fr_", $page)) {

$cat = "cat_fr/";

}

else{

$cat = "";

}

if(eregi("http://", $page)){

?>

<script>

top.location.replace ('<?php echo $page; ?>');

</script>

<?php

}

$page = ereg_replace (".htm", "", $page);

if($page=="") $page=$page_principale;

if(@!include($cat.$page.".php")){

if(@!include($cat.$page_principale.".php")){

include($page_principale.".php");

}

}

?>

Merci de dire si tout est ok.
17/01/2006, 17h54
Mr N.

tout n'est pas ok :)

tu repose sur register_globals on
tu utilise @ qui est à éviter autant que faire se peut.
tu permet une attaque de type XSS dans ton code javascript
17/01/2006, 18h04
istreen

C'est gentil, que doit faire alors ?
modifier quoi ?

Merci d'avoir pris le temps et de repondre aussi vite.
17/01/2006, 18h21
istreen

la personne qui ma codé ca a une protection xxx4 mais pas moi :'(
Pour qui veulent savoir c'est un package apache ou compilé avec apache.
Qui securise le serveur je pense.

Avis aux experts en securité.
18/01/2006, 10h17
Kioob

Euh... avoir un "module de sécurité" supplémentaire n'autorise pas pour autant à coder comme un goret.
D'autant plus que ça m'étonnerait que son module miracle couvre ce genre de trucs.