• [^] # Re: Bug ou fonctionnalité ?

    Posté par . En réponse à la dépêche Une faille nommée « shellshock ». Évalué à 2.

    Pour être complet: il est impossible d'appliquer à bash la même technique de validation des données que sur un site web avec SQL en filtrant les données car, dans ce cas-ci, c'est bien le contenu (arbitraire) de la variable d'environnement qui va déclencher le problème. Mais ça, je ne l'ai pigé complètement qu'après avoir écrit ce que tu as lu plus haut.

    Pour le reste, dire qu'en «poussant le raisonnement, ce serait à l'utilisateur d'éviter d'envoyer des crasses» transforme le problème parce que le raisonnement ne peut pas être poussé. En tout cas pas de cette manière là. Et de là à conclure que «la programmation défensive est inutile», c'est oublier que ce n'est pas parce qu'une solution n'est pas applicable que les autres ne le sont pas non plus. J'espère que ça répond à ta question.