Anomalie #5729
échappement des variables dans les requêtes sql
Début:
Echéance:
% réalisé:
100%
Distribution:
EOLE 2.3
Description
problème particulier identifié : il est impossible d'utiliser le guillemet simple dans une valeur retournée par le serveur CAS
en cause : la requête SELECT * FROM userattr WHERE attrname='...' AND attrvalue='...' et la non utilisation des méthodes "quote" ou "escape" prévues par l'objet de connexion à la BDD dans posh
fichiers identifiés :
- posh-profil/admin-attribut.php
- posh/includes/plugins/plugin_thumbs/plugin_thumbs.php
- posh/includes/plugins/plugin_xdesktop/inc_poshprofil.php
Il faudrait donc par sécurité échapper l'ensemble des données utilisées dans les requêtes.
Révisions associées
Echappement des variables pouvant contenir des apostrophes fixes #5729
Historique
#1 Mis à jour par Lucas Francavilla il y a presque 11 ans
- Assigné à mis à Lucas Francavilla
#2 Mis à jour par Anonyme il y a presque 11 ans
- Statut changé de Nouveau à Résolu
- % réalisé changé de 0 à 100
Appliqué par commit posh-profil|commit:091acfd293d1a414dc323f687ae2d6c1f3f45a79.
#3 Mis à jour par Arnaud FORNEROT il y a presque 11 ans
- Statut changé de Résolu à Fermé