2 règles de sécurité quand on ecrit du php dans un squelette :
TOUJOURS appliquer |texte_script a la fin d’un filtre qu’on injecte dans une 
variable PHP, et TOUJOURS utiliser des simples quotes

$toto = '[(#TRUC|filtre_ce_que_tu_veux|texte_script)]’;

Sinon oui c’est un trou béant (là je peux surement faire du remote code 
execution en envoyant une image fake avec un src foireux)

--
Cédric
Le 1 août 2019 à 09:06 +0200, RealET <rea...@gmail.com>, a écrit :
> Bonjour,
>
> J'avais une page avec beaucoup de calculs d'images qui dans certains cas
> ne s'affichait pas du tout.
> Pour palier à cela, j'ai eu l'idée d'externaliser le calcul de chaque image.
> Pour cela, j'ai créé ce squelette :
> https://zone.spip.net/trac/spip-zone/browser/spip-zone/_squelettes_/soyezcreateurs_net/trunk/plugins/soyezcreateurs/tuile.html?rev=116191
> qui reçoit en paramètre :
> - le chemin de l'image d'origine
> - la largeur souhaitée
> - la hauteur souhaitée
>
> Résultat : mes pages qui ne s'affichaient pas s'affichent enfin.
>
> Mes questions :
> - est-ce que ça vous semble une bonne méthode ?
> - est-ce que vous y voyez un risque de sécurité ?
>
> --
> RealET
>
>
>
> ----
> spip-zone@rezo.net - https://listes.rezo.net/mailman/listinfo/spip-zone
----
spip-zone@rezo.net - https://listes.rezo.net/mailman/listinfo/spip-zone

Répondre à