Anomalie #5729: échappement des variables dans les requêtes sql - posh-profil - Ensemble Ouvert Libre Évolutif

Anomalie #5729

échappement des variables dans les requêtes sql

Added by Christophe Deseure over 9 years ago. Updated over 9 years ago.

Status:

Fermé

Priority:

Haut

Assigned To:

Lucas Francavilla

Target version:

Envole - Envole 3.3.5

Start date:

Due date:

% Done:

100%

Distribution:

EOLE 2.3

Description

problème particulier identifié : il est impossible d'utiliser le guillemet simple dans une valeur retournée par le serveur CAS
en cause : la requête SELECT * FROM userattr WHERE attrname='...' AND attrvalue='...' et la non utilisation des méthodes "quote" ou "escape" prévues par l'objet de connexion à la BDD dans posh
fichiers identifiés :
- posh-profil/admin-attribut.php
- posh/includes/plugins/plugin_thumbs/plugin_thumbs.php
- posh/includes/plugins/plugin_xdesktop/inc_poshprofil.php

Il faudrait donc par sécurité échapper l'ensemble des données utilisées dans les requêtes.

Associated revisions

Revision 091acfd2 (diff)
Added by Lucas Francavilla over 9 years ago

Echappement des variables pouvant contenir des apostrophes fixes #5729

History

#1 Updated by Lucas Francavilla over 9 years ago

Assigned To set to Lucas Francavilla

#2 Updated by Anonymous over 9 years ago

Status changed from Nouveau to Résolu
% Done changed from 0 to 100

Appliqué par commit posh-profil|commit:091acfd293d1a414dc323f687ae2d6c1f3f45a79.

#3 Updated by Arnaud FORNEROT over 9 years ago

Status changed from Résolu to Fermé

Also available in: Atom PDF

Project

General

Profile

Envole » Envole-Mutualisé » posh-profil

Issues

Custom queries