Hello à tous,
 
Je suis en train d'auditer du code php de développeur web junior et je viens de tomber sur ca :  
 
$_SESSION=$_POST;
 
Il me pique un peu les yeux surtout coté sécurité.
 
Y'a qu'a moi que ca pique les yeux ?
 
Merci

C'est vrai que c'est moche. C'est surtout inutile. $_post est déjà globale, on peut se demander à quoi ça a pu servir au gars qui a codé ça ?
Niveau secu, c'est un peu la porte ouverte à tout type d'injection sil e contenu des variables n'est pas checké quelque part. Ce qui craint le plus c'est de pouvoir forcer des variables de session en forçant un $post mais encore faut il avoir le reste du code pour savoir quelles variables de session y sont utilisées.

Bon ca me rassure, y'a pas que moi qui trouve que ca ressemble à une faille de sécu ....
 
L'idée du DW etait de garder les informations posté entre 2 posts ... mouais bof ....

T'as qu'à lui répondre :
 
Never trust the user input, n00b !

c'est aussi optimiste de penser que $_SESSION est vide. Surtout si son code doit s'intégrer dans autre chose.

A la limite, mettre dans $_SESSION['post'] après avoir checké les données ?