• # Sécurité

    Posté par (site web personnel, Mastodon) . En réponse à la dépêche WiKiss 0.3rc2 : appel à testeurs. Évalué à 6.

    Je voudrais pas casser l'enthousiasme général mais bon quand même je lis 10 lignes de code et je trouve ça :

    if (! $file = @fopen($PAGES_DIR . stripslashes($_POST["page"]) . ".txt", "w"))

    Je vous laisse imaginer ce que ça peut faire en mettant des trucs méchants dans cette variable...

    De même, stocker le mot de passe en cookie n'est pas une excellente idée niveau sécu (transmis en clair à chaque visite).

    Y'a d'autres failles marrantes possibles (comme ça par exemple : header("location: ./?page=" . $_POST['page']."&action=edit&error=1"); ), et quelques erreurs simples. Par exemple après un header('location...'); on met un exit; ou un die(); sinon le reste du script continue de s'exécuter.

    Voilà, c'est pas mon intention de casser le boulot réalisé, qui est intéressant, mais ça serait bien de vérifier tout ça avant de faire une release publique.

    Bon courage :)

    « Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)