Главная Обзор Помощь
Вход
boarspring
/
repo_zf1Php7
ответвлено от boarspring/repo_zf1
2
0
Ответвить 0
Файлы
Дерево: 2607d99d56
Ветки Метки
repo_zf1Php7
/
documentation
/
manual
/
fr
/
module_specs
/
Zend_View-Migration.xml

Zend_View-Migration.xml 2.4 KB
История Исходник

1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556 
  1. <?xml version="1.0" encoding="UTF-8"?>
    2. 

  2. <!-- EN-Revision: 17172 -->
    3. 

  3. <!-- Reviewed: no -->
    4. 

  4. <sect1 id="zend.view.migration">
    5. 

  5.     <title>Migration depuis les versions précédentes</title>
    6. 

  6. 

  7.     <para>
    8. 

  8.         Ce chapitre explique les cassures de compatibilités dans Zend_View, et devrait servir
    9. 

  9.         de guide de migration pour ce composant.
    10. 

  10.     </para>
    11. 

  11. 

  12.     <sect2 id="zend.view.migration.zf5748">
    13. 

  13.         <title>Migrer depuis des versions inférieures à 1.7.5</title>
    14. 

  14. 

  15.         <para>
    16. 

  16.             Avant la version 1.7.5, l'équipe de Zend Framework a été avertie d'une faille
    17. 

  17.             potentielle d'inclusion de fichier local ("Local File Inclusion" (LFI)) dans la méthode
    18. 

  18.             <methodname>Zend_View::render()</methodname>. Avant 1.7.5, la méthode acceptait par défaut
    19. 

  19.             la possibilité de spécifier des scripts de vue comportant des indications de dossier
    20. 

  20.             parent (comme, "../" ou "..\"). Ceci ouvre la possibilité à une attaque LFI si des
    21. 

  21.             données utilisateurs non filtrées sont passées directement à la méthode
    22. 

  22.             <methodname>render()</methodname>:
    23. 

  23.         </para>
    24. 

  24. 

  25.         <programlisting language="php"><![CDATA[
    26. 

  26. // Ici, $_GET['foobar'] = '../../../../etc/passwd'
    27. 

  27. echo $view->render($_GET['foobar']); // inclusion LFI
    28. 

  28. ]]></programlisting>
    29. 

  29. 

  30.         <para>
    31. 

  31.             <classname>Zend_View</classname> émet maintenant une exception dans un tel
    32. 

  32.             cas.
    33. 

  33.         </para>
    34. 

  34. 

  35.         <sect3 id="zend.view.migration.zf5748.disabling">
    36. 

  36.             <title>Désactiver la protection LFI de render()</title>
    37. 

  37. 

  38.             <para>
    39. 

  39.                 Comme des développeurs utilisaient de telles notations, mais qui n'étaient
    40. 

  40.                 <emphasis>pas</emphasis> des données en provenance de l'extérieur, un drapeau
    41. 

  41.                 spécial a été crée, il permet de désactiver la protection. Pour manipuler ce
    42. 

  42.                 drapeau, il existe 2 moyens&#160;: le paramètre 'lfiProtectionOn' du constructeur de
    43. 

  43.                 votre vue, ou encore la méthode <methodname>setLfiProtection()</methodname>.
    44. 

  44.             </para>
    45. 

  45. 

  46.             <programlisting language="php"><![CDATA[
    47. 

  47. // Désactivation de la protection par le constructeur
    48. 

  48. $view = new Zend_View(array('lfiProtectionOn' => false));
    49. 

  49. 

  50. // Désactivation de la protection par la méthode dédiée
    51. 

  51. $view = new Zend_View();
    52. 

  52. $view->setLfiProtection(false);
    53. 

  53. ]]></programlisting>
    54. 

  54.         </sect3>
    55. 

  55.     </sect2>
    56. 

  56. </sect1>
    57.