27-07-2011, 01:35 AM
(26-07-2011, 08:57 PM)php_addict a écrit : Merci à vous, j'ai l'impression de découvrir comment fonctionnent les templates...les risques dépendent de qui écrit dans ton editeur de template..et comment.
(26-07-2011, 08:05 PM)Arius Vistoon a écrit : n'oublie pas de vérifier la validité de "autre_fichier_template.tpl"
quels en sont les risques et comment vérifies tu la validité du template?
Je ne sais pas ce que tu cherche a faire mais si par exemple, tu écris un CMS, et que tu laisse une personne "non qualifier" ou "malveillante" (c'est pareil) écrire dedans pour changer le design de l'interface (bien que la plupart des designeur sont aussi administrateur..ce qui est un tort) et bien cette personne pourrait mettre un truc du genre
{{http://www.monsitevicieux.com/mon_fichier_qui_transmettra tout ce qu'ecrit lesclients vers_mon site_mdp_y_compris_et_qui_pete_la_bd.tpl}} et toi tu vas gentiment mettre le contenu de son fichier dans ta page. la c'est un exemple à la louche mais je suis persuadé qu'il y a d'autre cas de figure encore plus sympas...
Pour te protéger, ben ca depend de ce que tu utilises. Mais dans tout les cas, il faut TOUJOURS vérifier que ce que l'on traite est bien ce que l'on attends à traiter.
Donc imaginons mon exemple farfelu d'au-dessus. il te suffit soit de ne pas inclure de fichier qui n’appartiennent pas à une liste de fichier que tu connais, soit/et interdire les fichiers distants (sous entendu que seul ton apache, peux acceder au répertoire en question) ou verifier que le fichier est bel et bien cher toi (ce qui n'est pas la même opération, contrairement a ce que l'on pourrait croire)
Il est egalement possible que tu ne soit pas concerner par ce que j'ai écris (car je connais pas le contexte de ta demande, c'étais juste un truc que j'ai pensais en voyant ta demande...à une epoque j'ai commencé à crée un CMS qui tourneotte on va dire et j'ai été confronté au pb car je voulais absolument que les pluging des contributeur soit totalement user-friendly..en gros, qu'il n'y ai aucun parametrage a faire, le type clique et c'est plugué ou met son plugin dans le repertoire plugin et c'est plugé..la méthode qu'il préfere..sauf que en faisant comme, ca, il fallait que je soit sur que le splugin n'allait pas tout casser dans mon zolis-code...bref, j'ai opté pour une solution de template en mode objet)