Re: php href ou autre solution

Top Page

Reply to this message
Author: anne.guilde@free.fr
Date:  
To: guilde
Subject: Re: php href ou autre solution
Le 15/01/2020 à 16:05, Edgar Bonet a écrit :
> J'avais pas vu cette horreur, qui vient de me faire sauter de ma
> chaise...
>
> Anne a écrit :
>> if(isset($_REQUEST["retour"]))
>> {
>>      $fich_temp = $_GET['retour']
>>      if(unlink($fich_temp))
>>      {
>>          echo("Deleted ".$fich_temp);
>>      }
>> }

>
> Ça donne envie d'essayer ça, juste pour rire :
>
>      curl http://to-site/to-script.php?retour=/bin/bash

>
> Bon, OK, ça va sans doute foirer si le serveur ne tourne pas sous l'uid
> root. Mais quand-même, il ne faut pas donner le bâton pour se faire
> battre :
>
>      https://xkcd.com/327/

>
> Il faut *toujours* traiter les données en provenance du client comme
> potentiellement maléfique. Sur le Net jamais, au grand jamais, tu ne
> fais confiance au client.
>


bon, on fait comment?

Je veux bien un peu d'aide

Anne