Talk:Security

From ClaroDevel

Note pour les développeurs :

Voici la liste des fonctions php désactivés sur nexen. Je trouve qu'il serait intéressant de ne pas les utiliser dans claroline, pour permettre à nos utilisateurs de les désactiver sur leur serveur.

disable_functions = proc_open , popen, disk_free_space, diskfreespace, set_time_limit, leak, tmpfile, exec, system, shell_exec, passthru

Certaines de ces fonctions sont dans le code de claroline.

  • popen :
    • dans class.phpmailer.php <-- dans une partie de code qui n'est pas employé. (qu'on pourrait nettoyer = supprimer)
  • disk_free_space :
    • dans la librairie debug.lib.inc.php : c'est un script sdk, mais je (Moosh) rendre optionnel l'appel à la fonction
    • dans la librairie export.lib.inc.php : cette librairie n'est pas utilisée
  • set_time_limit :
    • dans extract_var_from_script_file.php : c'est un script sdk, mais je vais enlever l'appel à la fonction
  • exec:
    • dans fileUpload.lib.php : l'exec de la commande unzip est désactivé depuis la 1.7 via la variable $exec_unzip_cmd qui est setté à false dans le script. L'idée était de mettre cette fonction en configuration dans une prochaine release, et de la mettre à true en attendant sur icampus pour les performances (Je ne sais pas si c'est le cas).
Retrieved from "http://wiki.claroline.net/index.php/Talk:Security"