Re: [SPIP Zone] Question sécurité et méthode

2019-08-01 Par sujet RealET

Cerdic a écrit le 01/08/2019 à 09:37 :

2 règles de sécurité quand on ecrit du php dans un squelette :
TOUJOURS appliquer |texte_script a la fin d’un filtre qu’on injecte dans 
une variable PHP, et TOUJOURS utiliser des simples quotes


$toto = '[(#TRUC|filtre_ce_que_tu_veux|texte_script)]’;

Sinon oui c’est un trou béant (là je peux surement faire du remote code 
execution en envoyant une image fake avec un src foireux)

Merci pour ton éclairage.
J'ai sérieusement modifié le code suite à tes remarques.
https://zone.spip.net/trac/spip-zone/browser/spip-zone/_squelettes_/soyezcreateurs_net/trunk/plugins/soyezcreateurs/tuile.html?rev=116192

Qu'en penses-tu ?

--
RealET



spip-zone@rezo.net - https://listes.rezo.net/mailman/listinfo/spip-zone


[SPIP Zone] Question sécurité et méthode

2019-08-01 Par sujet RealET

Bonjour,

J'avais une page avec beaucoup de calculs d'images qui dans certains cas 
ne s'affichait pas du tout.

Pour palier à cela, j'ai eu l'idée d'externaliser le calcul de chaque image.
Pour cela, j'ai créé ce squelette : 
https://zone.spip.net/trac/spip-zone/browser/spip-zone/_squelettes_/soyezcreateurs_net/trunk/plugins/soyezcreateurs/tuile.html?rev=116191

qui reçoit en paramètre :
- le chemin de l'image d'origine
- la largeur souhaitée
- la hauteur souhaitée

Résultat : mes pages qui ne s'affichaient pas s'affichent enfin.

Mes questions :
- est-ce que ça vous semble une bonne méthode ?
- est-ce que vous y voyez un risque de sécurité ?

--
RealET




spip-zone@rezo.net - https://listes.rezo.net/mailman/listinfo/spip-zone