| Re: Module kshop ou zen cart |
Titre du sujet : Re: Module kshop ou zen cart
par Ghia sur 30/06/2008 15:25:10
Citation :
eparcyl92 a écrit:
Je viens de lire dans le lien ci-dessous, qu'il existait une faille de sécurité dans le module Kshop.
La publication date du mois d'avril 2007, quelqu'un sait il si cela a été résolu depuis?
Le fichier indiquee n'est pas la probleme. Le fontion indiquee est deja obsolete et remplacee par loadxprod. Le risque d'injection SQL existe dans plusiers fichiers et fonctions.
Tous les variables (comme $id) venant du requetes ($_GET, $_POST) doivent etre examinee et corrigee comme dans cette example:
if(!isset($_POST['id'])){
$id = isset ($_GET['id']) ? $_GET['id'] : '0'; }
else {
$id = $_POST['id']; }
$id = intval($id);
PS En module Protector, il existe une option qui s'occupe deja pour tous les ID, effectivement seulement pour les variables qui s'appelle aussi ID dans la requete URL ( ...&xxxxID=yy... ))
|
|
