Balise #ENV** et sécurité

Hdeb

Janvier 2010

Bonjour,

Dans un squelette, j’utilise la balise #ENV** mais j’ai lu que ça pose un problème de sécurité.

#SET{{selection},#ENV**{selection}|select_pos{$selection}}

où $selection est la chaîne de caractères renvoyée par le formulaire, select_pos la fonction php qui applique un traitement à la chaine et qui se trouve dans mes_fonctions.php et enfin selection, le résultat passé à la boucle.

Comment éviter ce risque s’il existe ? Peut-on utiliser le filtre |safehtml et où le placer ?

Merci pour votre aide.

Par note Par date Par date chronologique

Indiquez l’intérêt que vous portez à cette réponse

0

Hdeb

Janvier 2010

Bonjour,

Je reformule ma question.

Je traite le résultat d’un formulaire avec un script php placé dans mes_fonctions.php puis je le récupère dans l’environnement du squelette avec la balise #ENV.

Mais par sécurité la balise #ENV interdit l’appel à un script php ou autre car un code indésirable pourrait être inséré dans la variable passée au squelette. La notation #ENV** lève cette sécurité ce qui permet de récupérer l’information transmise dans l’environnement du squelette.

J’ai lu ici que dans ce cas il faut réaliser un "filtre de sécurité". Cet article date de 2006 et il y a eu depuis bien des changements. J’ai lu aussi que le filtre safehtml était maintenant appliqué automatiquement.

Je ne peux pas laisser une faille de sécurité et je cherche à savoir si cette protection est suffisante ?

Merci pour votre aide.