bonjour,
j'ai découvert thélia il n'y a pas tres longtemps et j'ai choisi de l'utiliser pour créer une boutique en ligne... car j'aime bien la clareté du code, le systeme de boucles, templates....
cependant, je me pose une question concernant la sécurité...
en effet, aucune variable passée en GET ou en POST n'est vérifiée... cela peut poser des petits soucis de confidentialité de certaines données en cas d'utilisation abusive...
par exemple, la variable $fond prenant pour valeur le fichier html du template à utiliser est initialisée dans le fichier php appelant (exemple : index.php)... cependant, après avoir initialisé cette variable, index.php appelle moteur.php qui commence par récupérer les variables POST et GET (sans les vérifier)....
deuxiemement, j'ai du modifier la valeur magic_quotes dans mon php.ini pour la mettre a off, ceci pour pouvoir faire fonctionner un autre script sur le meme serveur...
du coup, je me suis dit thelia=valeur passées en parametres non vérifiées = risque d'injection genre sql...
pas manqué, avec les magic_quotes à off une petite injection sql bien faite permet de rentrer dans la partie admin sans mot de passe !!
ces petits soucis peuvent etre reglés facilement par un développeur php, mais j'ai cru comprendre en parcourant le forum que tous les utilisateurs de thélia n'ont pas le meme niveau de connaissance en php...
ma question est donc : comment est appréhendé le coté sécurité par l'équipe de développeurs ? est-ce à nous de nous débrouiller seuls ? au risque d'avoir a refaire des modifs a chaque mise a jour...
une petite note d'information pourrait être utile aux novices, au moins pour les magic_quotes....
et pour conclure, bravo quand meme pour le boulot réalisé
edit: j'ai oublié aussi une petite suggestion.... dans le script moteur.php, il y a une variable qui est initialisée à null par défaut : parsephp je n'ai pas vérifié si cela posait probleme ailleurs, mais initialiser parsephp à "1" par défaut serait une bonne chose à mon avis pour éviter au moins le soucis mentionné plus haut...
Last edited by stefan (18-07-2007 10:14:41)