THELIA Forum

bonjour,

j'ai découvert thélia il n'y a pas tres longtemps et j'ai choisi de l'utiliser pour créer une boutique en ligne... car j'aime bien la clareté du code, le systeme de boucles, templates....

cependant, je me pose une question concernant la sécurité...

en effet, aucune variable passée en GET ou en POST n'est vérifiée... cela peut poser des petits soucis de confidentialité de certaines données en cas d'utilisation abusive...
par exemple, la variable $fond prenant pour valeur le fichier html du template à utiliser est initialisée dans le fichier php appelant (exemple : index.php)... cependant, après avoir initialisé cette variable, index.php appelle moteur.php qui commence par récupérer les variables POST et GET (sans les vérifier)....

deuxiemement, j'ai du modifier la valeur magic_quotes dans mon php.ini pour la mettre a off, ceci pour pouvoir faire fonctionner un autre script sur le meme serveur...
du coup, je me suis dit thelia=valeur passées en parametres non vérifiées = risque d'injection genre sql...

pas manqué, avec les magic_quotes à off une petite injection sql bien faite permet de rentrer dans la partie admin sans mot de passe !!

ces petits soucis peuvent etre reglés facilement par un développeur php, mais j'ai cru comprendre en parcourant le forum que tous les utilisateurs de thélia n'ont pas le meme niveau de connaissance en php...

ma question est donc : comment est appréhendé le coté sécurité par l'équipe de développeurs ? est-ce à nous de nous débrouiller seuls ? au risque d'avoir a refaire des modifs a chaque mise a jour...
une petite note d'information pourrait être utile aux novices, au moins pour les magic_quotes....

et pour conclure, bravo quand meme pour le boulot réalisé

edit: j'ai oublié aussi une petite suggestion.... dans le script moteur.php, il y a une variable qui est initialisée à null par défaut : parsephp   je n'ai pas vérifié si cela posait probleme ailleurs, mais initialiser parsephp à "1" par défaut serait une bonne chose à mon avis pour éviter au moins le soucis mentionné plus haut...

Last edited by stefan (18-07-2007 10:14:41)

j'attend avec impatience la MaJ ...

qui va vendre des produits de savoie ?

Je suis un gourmand !

Il est clair que plus la diffusion de Thélia augmente plus le risque sera grand.

Le site ne semble plus exister ...

Je n'ai pas bien compris vos posts mais apparemment il s'est fait rentrer c bien ça ?

Si Thélia n'est pas protégé contre les injections SQL il y a un travail de refonte à faire pour vérifier toutes les variables.

Pouvez-vous m'indiquer si l'équipement de développement travaille dessus ?
Sinon peut-être pourrions nous nous en occuper ?

De mon côté je vais m'y attaquer dès la phase de déboguage première du site que je suis en train de concevoir sera terminée. Si de bonnes âmes charitables veulent se joindre à moi pour régler ce problème d'injections SQL ...

Contactez-moi...

Bonjour,
Aprés avoir fait le tour des solutions de ecommerce Thélia me semble la plus adaptée à mes besoins, mais qu'en est il  de ce soucis de sécurite ?

Merci

Merci pour cette réponse rapide