NPDS
Responsive
NPDS REvolution 16.8
1 visiteur(s) et 0 membre(s) en ligne.
Jeudi 23 avril 2026 à 12:23:38
Jeudi 23 avril 2026 à 12:23:38
Anciens articles
- Samedi, 06 juillet
- Au collège Emmanuel de MARTONNE de 1995 à 2024 : Peut-on travailler autrement avec le numérique ?
- Les Frigoristes passent en 16.4
- Lundi, 15 avril
- Un module N P D S dans la littérature !
- REvolution v.16.4
- Lundi, 06 novembre
- Toutes les belles aventures ont une fin, et, le 6 octobre 2023, nous fermons le portail de TÉC.
Index du forum »» Sécurité »» [Résolu] - petit complément de sécurité sur les modules
[Résolu] - petit complément de sécurité sur les modules#7577
1Contributeur(s)
3 Modérateur(s)
developpeur
- Si votre NPDS tourne avec l'option (php.ini) registrar_global=on ALORS
- Si votre NPDS est à la racine de votre Web ALORS
- Si vos utilisateurs ont accès sur le serveur d'hébergement à une zone de type home/mon_membre ALORS
==> Alors ya un petit problème avec certains modules (archives-stories par exemple) qui pourrait permettre d'inclure un faux archives-stories.conf.php
LE P1 de npds 5.0 corrigera cela mais plus générallement les concepteurs de modules peuvent éliminer ce risque (faible) en incluant les lignes suivantes au DEBUT de leur module :
if (strstr($ModPath,"..") || strstr($ModStart,"..") || stristr($ModPath, "script") || stristr($ModPath, "cookie") || stristr($ModPath, "!iframe!") || stristr($ModPath, "applet") || stristr($ModPath, "object") || stristr($ModPath, "meta") || stristr($ModStart, "script") || stristr($ModStart, "cookie") || stristr($ModStart, "!iframe!") || stristr($ModStart, "applet") || stristr($ModStart, "object") || stristr($ModStart, "meta")) {
die();
}
Sur un hébergement classique, le risque est inexistant (enfin d'après moi)
Voilu
- Si votre NPDS est à la racine de votre Web ALORS
- Si vos utilisateurs ont accès sur le serveur d'hébergement à une zone de type home/mon_membre ALORS
==> Alors ya un petit problème avec certains modules (archives-stories par exemple) qui pourrait permettre d'inclure un faux archives-stories.conf.php
LE P1 de npds 5.0 corrigera cela mais plus générallement les concepteurs de modules peuvent éliminer ce risque (faible) en incluant les lignes suivantes au DEBUT de leur module :
if (strstr($ModPath,"..") || strstr($ModStart,"..") || stristr($ModPath, "script") || stristr($ModPath, "cookie") || stristr($ModPath, "!iframe!") || stristr($ModPath, "applet") || stristr($ModPath, "object") || stristr($ModPath, "meta") || stristr($ModStart, "script") || stristr($ModStart, "cookie") || stristr($ModStart, "!iframe!") || stristr($ModStart, "applet") || stristr($ModStart, "object") || stristr($ModStart, "meta")) {
die();
}
Sur un hébergement classique, le risque est inexistant (enfin d'après moi)
Voilu