[MANUAL] English:
[zend.git] / documentation / manual / he / module_specs / Zend_View-Migration.xml
blob3b0e959f22b57dfad8b762fb0a95ab2c5aa37018
1 <sect1 id="zend.view.migration">
2     <title>עדכון מגרסאות קודמות</title>
4     <para>
5         פרק זה נועד בעיקר למידע אודות עדכון המערכות שלכם שנכתבו על גבי גרסאות קודמות של Zend Framework ודורשות עדכונים מסויימים כדי לעבוד עם הגרסאות החדשות.
6     </para>
8     <sect2 id="zend.view.migration.zf5748">
9         <title>עדכון מגרסאות קודמות ל 1.7.5</title>
11         <para>
12             לפני גרסאת 1.7.5, צוות Zend Framework קבל דיווח על פירצת אבטחה אשר מאפשרת הוספת קובץ מקומי במתודת ה <code>Zend_View::render()</code>. הפרצה היא מסוג
13             Local File Inclusion (LFI). בגרסאות קודמות ל 1.7.5 המתודה הזאת אפשרה כברירת מחדל להוסיף קבצי תצוגה אשר הכילו ציון לתקיה הראשית או תיקיה אחת מעלה
14             לדוגמא "../" או "..\" .
15             זה מאפשר לפרצת אבטחה מסוג LFI אם הקובץ תצוגה שאמור להיות מוצג מתקבל על ידי הזנת משתמש לדוגמא:
16         </para>
18         <programlisting role="php"><![CDATA[
19 // Where $_GET['foobar'] = '../../../../etc/passwd'
20 echo $view->render($_GET['foobar']); // LFI inclusion
21 ]]></programlisting>
23         <para>
24             כעת <code>Zend_View</code> כברירת מחדל תזרוק שגיאה על ידי חריגים ברגע שיהיה ניסיון בטעינת קובץ בדרך זו.
25         </para>
27         <sect3 id="zend.view.migration.zf5748.disabling">
28             <title>ביטול הגנה מפני LFI במתודת ה render()</title>
30             <para>
31                 מאחר וכמה מתכנתים דווחו שהם משתמשים בדרך זו של טעינה של קבצים אשר לא מתקבלים על ידי הזנת משתמשים, נוצר סימון מיוחד אשר מאפשר ביטול ההגנה זו כברירת מחדל.
32                 ישנם 2 דרכים לעשות זאת: על ידי העברת הפרמטר 'lfiProtectionOn' כשיוצרים את אובייקט התצוגה, או על ידי קריאה למתודת ה <code>setLfiProtection()</code> .
33             </para>
35             <programlisting role="php"><![CDATA[
36 // Disabling via constructor
37 $view = new Zend_View(array('lfiProtectionOn' => false));
39 // Disabling via exlicit method call:
40 $view = new Zend_View();
41 $view->setLfiProtection(false);
42 ]]></programlisting>
43         </sect3>
44     </sect2>
45 </sect1>
46 <!--
47 vim:se ts=4 sw=4 et:
48 -->