web-dev-qa-db-fra.com

Quel est le problème de sécurité avec l'encodage / décodage base64?

http://phptester.net/ renvoie l'avertissement

AVERTISSEMENT base64_decode () a été désactivé pour des raisons de sécurité

Pourquoi?

Outre les vulnérabilités évidentes qui n'ont rien à voir avec base64_decode (le traiter comme un cryptage, comme un hachage, évaluer des données base64_decoded, etc.) pourquoi son exécution constituerait-elle une vulnérabilité de sécurité?

25
powersupply

pourquoi l'exécution serait-elle simplement une faille de sécurité?

Ce n'est pas.

base64_decode fait exactement ce que vous attendez: il décode une chaîne.

Il n'y a pas non plus de vulnérabilités connues, ni par le passé (il y avait un problème de dépassement d'entier dans base64_encode - CVE-2003-0861 - mais PHP ne considère pas cela comme un problème de sécurité).

Je suppose que http://phptester.net/ l'interdit car il peut être utilisé pour masquer des données. Ils peuvent avoir des filtres en place pour empêcher l'exécution de code dangereux et peuvent craindre que base64_decode pourrait être utilisé pour contourner ces filtres. Je ne pense pas que ce soit nécessaire ou utile, mais cela pourrait être leur fil conducteur.

26
tim