• [^] # Re: Bug ou fonctionnalité ?

    Posté par . En réponse à la dépêche Une faille nommée « shellshock ». Évalué à 1.

    Il n'y a rien à échapper ici.

    Exact. L'échappement est propre aux bonnes pratiques sur l'utilisation de SQL dans un site Web. Il ne faut pas prendre l'analogique au pied de la lettre, bien entendu.

    Il ne faut pas inverser les responsabilités : c'est bien à bash de s'assurer qu'il n'introduit pas des comportements non spécifiés ;

    Il ne s'agit pas d'inverser les responsabilités. La responsabilité porte, d'une part, sur bash, qui ne se conforme pas à son API, comme expliqué mais aussi sur les programmes, d'autre part, qui se contentent de passer des données non validées à bash. Ne porter son attention que sur le côté bash revient à masquer l'autre partie du problème.