Home Explore Help
Sign In
boarspring
/
repo_zf1
mirror of https://github.com/bluescreen/zf1-php7.2.git
2
0
Fork 1
Files Issues 0 Wiki
Tree: 8ca34e983f
Branches Tags
repo_zf1
/
documentation
/
manual
/
fr
/
module_specs
/
Zend_View-Migration.xml

Zend_View-Migration.xml 2.3 KB
History Raw

1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556 
  1. <?xml version="1.0" encoding="UTF-8"?>
    2. 

  2. <!-- Reviewed: no -->
    3. 

  3. <sect1 id="zend.view.migration">
    4. 

  4.     <title>Migration depuis les versions précédentes</title>
    5. 

  5. 

  6.     <para>
    7. 

  7.         Ce chapitre explique les cassures de compatibilités dans
    8. 

  8.         Zend_View, et devrait servir de guide de migration pour ce composant.
    9. 

  9.     </para>
    10. 

  10. 

  11.     <sect2 id="zend.view.migration.zf5748">
    12. 

  12.         <title>Migrer depuis des versions inférieures à 1.7.5</title>
    13. 

  13. 

  14.         <para>
    15. 

  15.             Avant la version 1.7.5, l'équipe de Zend Framework a été avertie d'une faille
    16. 

  16.             potencielle d'inclusion de fichier local ("Local File Inclusion" (LFI)) dans la méthode
    17. 

  17.             <classname>Zend_View::render()</classname>. Avant 1.7.5, la méthode acceptait par défaut
    18. 

  18.             la possibilité de spécifier des scripts de vue comportant des indications de dossier
    19. 

  19.             parent (comme, "../" ou "..\"). Ceci ouvre la possibilité à une attaque LFI si des données
    20. 

  20.             utilisateurs non filtrées sont passées directement à la méthode <code>render()</code>:
    21. 

  21.         </para>
    22. 

  22. 

  23.         <programlisting role="php"><![CDATA[
    24. 

  24. // Ici, $_GET['foobar'] = '../../../../etc/passwd'
    25. 

  25. echo $view->render($_GET['foobar']); // inclusion LFI
    26. 

  26. ]]></programlisting>
    27. 

  27. 

  28.         <para>
    29. 

  29.             <classname>Zend_View</classname> emet maintenant une exception dans un tel cas.
    30. 

  30.         </para>
    31. 

  31. 

  32.         <sect3 id="zend.view.migration.zf5748.disabling">
    33. 

  33.             <title>Désactiver la protection LFI de render()</title>
    34. 

  34. 

  35.             <para>
    36. 

  36.                 Comme des développeurs utilisaient de telles notations, mais qui n'étaient
    37. 

  37.                 <emphasis>pas</emphasis> des données en provenance de l'extérieur, un drapeau
    38. 

  38.                 spécial a été crée, il permet de désactiver la protection. Pour manipuler ce
    39. 

  39.                 drapeau, il existe 2 moyens : le paramètre 'lfiProtectionOn' du constructeur de
    40. 

  40.                 votre vue, ou encore la méthode <code>setLfiProtection()</code>.
    41. 

  41.             </para>
    42. 

  42. 

  43.             <programlisting role="php"><![CDATA[
    44. 

  44. // Désactivation de la protection par le constructeur
    45. 

  45. $view = new Zend_View(array('lfiProtectionOn' => false));
    46. 

  46. 

  47. // Désactivation de la protection par la méthode dédiée
    48. 

  48. $view = new Zend_View();
    49. 

  49. $view->setLfiProtection(false);
    50. 

  50. ]]></programlisting>
    51. 

  51.         </sect3>
    52. 

  52.     </sect2>
    53. 

  53. </sect1>
    54. 

  54. <!--
    55. 

  55. vim:se ts=4 sw=4 et:
    56. 

  56. -->
    57.