bug site registar_Global off

FCDI · Septembre 28, 2006, 6:59

a l’aide jai un soucis avec mon site

mon hebergeur a changer le global_registar en off

"Bonjour, suite au hack de certains sites,

nous avons activé le registrar Global Off pour des raisons de sécurité, cela veux dire que vous ne pouvez pas récupérer la variable sans savoir sa provenance (variable de session, de formulaire…)

Pour récupérer vos variables dans vos scripts php

Une variable transmis par GET : $var = $_GET[‹ var ›];
une variable transmis par POST : $var = $_POST[‹ var ›];
Une variable transmis par SESSION : $var = $_SESSION[‹ var ›];
Une variable transmis par COOKIE : $var = $_COOKIE[‹ var ›];

Dans les prochaines versions de PHP ce ne sera plus paramétrable… Et il restera à OFF. Autant prendre de bonnes habitudes, d’autant plus que ce sont des recommandations qui datent de prés de 4 ans !!! "

et voila le resultat

Warning: include_once(ecrire/balise/login_public.php) [function.include-once]: failed to open stream: No such file or directory in /home/leosth/public_html/ecrire/public.php(24) : eval()'d code on line 173

Warning: include_once() [function.include]: Failed opening ‹ ecrire/balise/login_public.php › for inclusion (include_path=’.:/usr/lib/php:/usr/local/lib/php’) in /home/leosth/public_html/ecrire/public.php(24) : eval()'d code on line 173

Fatal error: Call to undefined function balise_LOGIN_PUBLIC_dyn() in /home/leosth/public_html/ecrire/public.php(24) : eval()'d code on line 174
merci de votre aide

b6fdf116bbc84533f139 · Septembre 28, 2006, 8:41

FCDI a écrit :

a l'aide jai un soucis avec mon site

mon hebergeur a changer le global_registar en off

ben ca c'est bien, et ca ne gene pas spip ... depuis la 1.7 je crois

"Bonjour, suite au hack de certains sites,

nous avons activé le registrar Global Off pour des raisons de sécurité,

Sage decision donc, mais il faudrait lui faire la remarque suivante à cet hebergeur :
Les hackeurs prennent souvent leurs informations en provoquant des erreurs.
Faire un changement de configuration brutal sans avertir les utilisateurs va provoquer sur un grand nombre de site l'affichage d'erreurs qui renseigneront les hackeurs sur la structure des scripts, les produits utilisés, les fonctions utilisées...

Bref securiser brutalement la plateforme en mettant à poil l'applicatif, c'est plutot contre-productif.

cela veux dire que vous ne pouvez pas récupérer la variable sans savoir sa provenance (variable de session, de formulaire...)

Pour récupérer vos variables dans vos scripts php

Une variable transmis par GET : $var = $_GET['var'];
une variable transmis par POST : $var = $_POST['var'];
Une variable transmis par SESSION : $var = $_SESSION['var'];
Une variable transmis par COOKIE : $var = $_COOKIE['var'];

Dans les prochaines versions de PHP ce ne sera plus paramétrable... Et il restera à OFF. Autant prendre de bonnes habitudes, d'autant plus que ce sont des recommandations qui datent de prés de 4 ans !!! "

et voila le resultat

www.leosthene.com

            *Warning*: include_once(ecrire/balise/login_public.php)
            [function.include-once
            <http://www.leosthene.com/function.include-once>\]: failed to
            open stream: No such file or directory in
            */home/leosth/public_html/ecrire/public.php(24) : eval()'d
            code* on line *173*

ca, ca dit : un cache "php" contient des erreurs

            *Warning*: include_once() [function.include
            <http://www.leosthene.com/function.include>\]: Failed opening
            'ecrire/balise/login_public.php' for inclusion

ca, ca dit : il manque un morceau ou il y a un gros probleme de droits => le probleme est la.

il aurait pas aussi changer la gestion des droits ton hebergeur ?
fait un CHMOD sur ce fichier si il existe et regarde quels sont les droits et à qui il appartient.

            (include_path='.:/usr/lib/php:/usr/local/lib/php') in
            */home/leosth/public_html/ecrire/public.php(24) : eval()'d
            code* on line *173*

            *Fatal error*: Call to undefined function
            balise_LOGIN_PUBLIC_dyn() in
            */home/leosth/public_html/ecrire/public.php(24) : eval()'d
            code* on line *174*

ca, ce sont les consequences : sans le fichier ecrire/balise/login_public.php, spip marche beaucoup moins bien...

@++

fb92dda8d0c6dd83baa1 · Septembre 28, 2006, 9:26

Bonjour,

Le 28 sept. 06 à 08:59, FCDI a écrit :

a l’aide jai un soucis avec mon site

mon hebergeur a changer le global_registar en off

1/ ton hébergeur a bien fait
2/ spip fonctionne très bien avec les registrar global à Off depuis plusieurs années sur de nombreux sites
3/ Pour ton problème de warning qui (à mon avis) n’a rien à voir : vide le cache, vérifie la taille de tes fichiers et tes répertoires en ftp.

Spipement

–
Philippe

Gregoire · Septembre 28, 2006, 11:08

FCDI a écrit :

a l'aide jai un soucis avec mon site

mon hebergeur a changer le global_registar en off

"Bonjour, suite au hack de certains sites,

nous avons activé le registrar Global Off pour des raisons de sécurité,
cela veux dire que vous ne pouvez pas récupérer la variable sans savoir
sa provenance (variable de session, de formulaire...)

[...]

Bonjour

Comme le dis Phillipe Auriol, Spip fonctionne avec le registrar Global Off et même avec Safe_mode à ON.

Donc, vide ton cache ou essaye de faire un nouveau transfert FTP.

A bientôt
Grégoire

Guillaume_Barou1 · Septembre 28, 2006, 11:45

Je me permet un bémol sur le safe mode : il impose quand même de sacré restrictions, notamment l’impossibilité d’utiliser les image_typo, une désorganisation totale du dossier IMG, une procédure plus complexe pour importer des listes dans la spip listes etc.

Le 28 sept. 06 à 13:08, Grégoire a écrit :

FCDI a écrit :

a l’aide jai un soucis avec mon site

mon hebergeur a changer le global_registar en off

"Bonjour, suite au hack de certains sites,

nous avons activé le registrar Global Off pour des raisons de sécurité,
cela veux dire que vous ne pouvez pas récupérer la variable sans savoir
sa provenance (variable de session, de formulaire…)

[…]

Bonjour

Comme le dis Phillipe Auriol, Spip fonctionne avec le registrar Global Off et même avec Safe_mode à ON.

Donc, vide ton cache ou essaye de faire un nouveau transfert FTP.

A bientôt
Grégoire

liste spip
spip@rezo.net - désabonnement : spip-off@rezo.net
Infos et archives : http://listes.rezo.net/mailman/listinfo/spip
Documentation de SPIP : http://www.spip.net/
irc://irc.freenode.net/spip
FAQ : http://www.spip-contrib.net/spikini/FaQ

Guillaume

FCDI · Septembre 28, 2006, 12:01

Merci a vous pour l’aide

en effet j’ai verifier mes repertoires et ce n’est pas un probleme de droits mais directement de fichier

ba oui ils avaient disparu,

donc je reup tout

pour info l’hebergeur c’est hosteur

Stephane LAURENT a écrit :

FCDI · Septembre 28, 2006, 12:27

par contre j’ai encore une petite erreur

Warning: Missing argument 2 for balise_LOGIN_PUBLIC_dyn(), called in /home/leosth/public_html/ecrire/public.php(24) : eval()'d code on line 174 and defined in /home/leosth/public_html/ecrire/balise/login_public.php on line 32et je n’arrive plus a la partie espace privé

j’ai une page blanche

c’est vraiment penible

FCDI a écrit :