Revue SMART DSI Connexion Newsletter
iTPro.fr

Actualités, Dossiers et Ressources IT Professionnelles - vendredi 12 août 2022

> Tech > Attention aux variables non initialisées

Attention aux variables non initialisées

Tech - Par iTPro - Publié le 24 juin 2010
email

 Par souci d’efficacité, PHP ne vérifie pas si les variables ont été initialisées avant leur utilisation. Or, quand des programmeurs oublient ou négligent d’initialiser des variables, on peut s’attendre à des « conséquences imprévues ». Normalement, les variables non initialisées ne menacent pas la sécurité, même

Attention aux variables non initialisées

si elles peuvent entraîner une défaillance de l’application.

Cependant, les variables initialisées sont très dangereuses dans un cas particulier : l’option register_ globals de PHP. Ce paramètre contrôle si les variables peuvent ou non, être définies directement à partir des arguments queryString inclus dans l’URL. La valeur par défaut de register_globals est Off, qui empêche l’assignation URL des variables.

Mais, si elle est sur On, le premier utilisateur venu peut manipuler directement des variables scripts en incluant des assignations sur l’URL. Ainsi, si votre script utilise la variable authentication- Passed pour indiquer que l’utilisateur a été authentifié, un mauvais plaisant pourrait simplement ajouter la chaîne « authentication Passed=1 » à un URL, contournant ainsi purement et simplement votre code d’authentification.

La parade évidente contre un tel abus est de s’assurer que register_ globals conserve sa valeur Off par défaut. Pour plus d’exemples des vulnérabilités concernant register_ globals, voir php.net/register_globals

Téléchargez gratuitement cette ressource

Guide de facturation électronique, voie royale pour le DAF et la digitalisation de la fonction finance

Guide de facturation électronique, voie royale pour le DAF et la digitalisation de la fonction finance

Ce livre blanc expose les problématiques auxquelles sont confrontés les DAF modernes et souligne les bénéfices de la facturation électronique pour la trésorerie. Il dévoile également le processus de déploiement de ce projet de transformation digitale que la réglementation rendra bientôt obligatoire.

Tech - Par iTPro - Publié le 24 juin 2010
Découvrir tous les articles de la chaîne Tech

Les articles les plus consultés

A travers cette chaîne
A travers ITPro

Les plus consultés sur iTPro.fr

Sur le même sujet

Les 6 étapes vers un diagnostic réussi

Les 6 étapes vers un diagnostic réussi
Une baie de stockage c’est quoi ?

Une baie de stockage c’est quoi ?
Cybersécurité Active Directory et les attaques de nouvelle génération

Cybersécurité Active Directory et les attaques de nouvelle génération
Et si les clients n’avaient plus le choix ?

Et si les clients n’avaient plus le choix ?
Trucs & Astuces : Tester un port UDP via TelNet

Trucs & Astuces : Tester un port UDP via TelNet

A lire aussi sur le site

4 conseils pour un modèle de travail hybride durable

Comment concilier travail à domicile et travail au bureau ? Voici 4 pistes livrées par Wildix à suivre de près …
Revue Smart DSI

La Revue du Décideur IT

Cloud in One : Des services Cloud packagés au service des entreprises

Comment gagner en réactivité, souplesse et sécurité tout en maîtrisant les coûts de fonctionnement et en profitant de la flexibilité d’une offre pensée pour s’aligner sur les besoins ? Songez à Cloud in One de DIB France.

A la Une des Ressources IT

Inscrivez-vous !
Les 7 étapes d’un projet de dématérialisation RH

Les 7 étapes d’un projet de dématéria...

Découvrir Sécurité Office 365 : 5 erreurs à ne pas commettre

Sécurité Office 365 : 5 erreurs à ne ...

Découvrir Guide de facturation électronique, voie royale pour le DAF et la digitalisation de la fonction finance

Guide de facturation électronique, vo...

Découvrir Le Guide d’Orchestration du Parcours client

Le Guide d’Orchestration du Par...

Découvrir Guide de Services Cloud Managés

Guide de Services Cloud Managés

Découvrir