Anomalie #5729: échappement des variables dans les requêtes sql - posh-profil - Ensemble Ouvert Libre Évolutif

Anomalie #5729

échappement des variables dans les requêtes sql

Ajouté par Christophe Deseure il y a presque 11 ans. Mis à jour il y a plus de 10 ans.

Statut:

Fermé

Priorité:

Haut

Assigné à:

Lucas Francavilla

Version cible:

Envole - Envole 3.3.5

Début:

Echéance:

% réalisé:

100%

Distribution:

EOLE 2.3

Description

problème particulier identifié : il est impossible d'utiliser le guillemet simple dans une valeur retournée par le serveur CAS
en cause : la requête SELECT * FROM userattr WHERE attrname='...' AND attrvalue='...' et la non utilisation des méthodes "quote" ou "escape" prévues par l'objet de connexion à la BDD dans posh
fichiers identifiés :
- posh-profil/admin-attribut.php
- posh/includes/plugins/plugin_thumbs/plugin_thumbs.php
- posh/includes/plugins/plugin_xdesktop/inc_poshprofil.php

Il faudrait donc par sécurité échapper l'ensemble des données utilisées dans les requêtes.

Révisions associées

Révision 091acfd2 (diff)
Ajouté par Lucas Francavilla il y a presque 11 ans

Echappement des variables pouvant contenir des apostrophes fixes #5729

Historique

#1 Mis à jour par Lucas Francavilla il y a presque 11 ans

Assigné à mis à Lucas Francavilla

#2 Mis à jour par Anonyme il y a presque 11 ans

Statut changé de Nouveau à Résolu
% réalisé changé de 0 à 100

Appliqué par commit posh-profil|commit:091acfd293d1a414dc323f687ae2d6c1f3f45a79.

#3 Mis à jour par Arnaud FORNEROT il y a plus de 10 ans

Statut changé de Résolu à Fermé

Formats disponibles : Atom PDF

Projet

Général

Profil

Envole » Envole-Mutualisé » posh-profil

Demandes

Rapports personnalisés