- Inscription
Langue : [automatic], [fr], [en], … | Allez on remonte !
« Retourner à la documentation

[Brouillon] [PHP] Fill in the cracks / Combler les failles

Ahhh, PHP, PHP, PHP, …

[fr] Français | [en] English | [global] Les deux
<fr> Vous ne pouvez pas faire du PHP de base et partir l'esprit tranquille.

<en> You can't do some base PHP and go with peace of mind.

<fr> PHP est un fromage gruyère, remplit de trous.

Quelles sont les bases que tout le monde devrait avoir :

<en> PHP is a Gruyere, it's full of holes.

What are the bases that everyone should have:

<fr> PHP le chiant : Ce que vous devez à chaque fois modifier sans vraiment avoir besoin de vous soucier de ce que ça fait, juste car PHP a une configuration de base qui peut être dangereuse.

<en> PHP the annoying: What you should always modify even without really caring about what it actually does, just because PHP has a dangerous default configuration.

<fr> PHP aime dire sa version à tout le monde … facilitant ainsi le travail d'un hacker pour déterminer d'éventuelles failles. Désactiver ça ne protégera pas le serveur mais rendra la tâche moins facile pour un hacker potentiel.

<en> PHP likes telling the whole world its version… making life of hacker easier to find out if your serveur might have some security issues. Disabling this won't protect your server but will make things harder for a potential hacker.

<fr> Soit vous pouvez changez la config de PHP et mettre expose_php = off dans php.ini.
Soit, si vous n'y avez pas accès à php.ini, vous pouvez vous même envoyez l'header vide ce qui aura pour effet de la désactiver.
<?php
header('X-Powered-By: '); # Rappel: Doit être placé avant tout "echo".
?>


<en> Either you can directly change PHP's config and set expose_php = off into php.ini or, if you can't do it, you could also send the header empty to disabling it:
header('X-Powered-By: '); # Reminder: Must be put before any "echo"s.


<fr> (Si vous utilisez Apache, pensez aussi à désactiver le fait qu'il aime aussi montrer sa version .-. http://www.ducea.com/2006/06/15/apache-tips-tricks-hide-apache-software-version/ )

<en> (If you use Apache, also think to disable the fact that Apache also likes displaying its version .-. http://www.ducea.com/2006/06/15/apache-tips-tricks-hide-apache-software-version/ )

Le code à toujours inclure (Cliquer pour afficher)Le code à toujours inclure (Cliquer pour cacher)
if(get_magic_quotes_gpc())
{
if(!function_exists('stripslashes_r'))
{
function stripslashes_r($element)
{
if(is_array($element)) return array_map('stripslashes_r', $element);
 
return stripslashes($element);
}
}
 
$_POST = array_map('stripslashes_r', $_POST);
$_GET = array_map('stripslashes_r', $_GET);
$_COOKIE = array_map('stripslashes_r', $_COOKIE);
 
# Version without recursion:
/* $_GET = json_decode(stripslashes(json_encode($_GET, JSON_HEX_APOS)), true);
$_POST = json_decode(stripslashes(json_encode($_POST, JSON_HEX_APOS)), true);
$_COOKIE = json_decode(stripslashes(json_encode($_COOKIE, JSON_HEX_APOS)), true);
$_REQUEST = json_decode(stripslashes(json_encode($_REQUEST, JSON_HEX_APOS)), true); */

}

Dernière modification le 03/08/2013 à 6h29
» Commenter cet article / 0 commentaire(s)