Project

General

Profile

Anomalie #5729

échappement des variables dans les requêtes sql

Added by Christophe Deseure almost 7 years ago. Updated over 6 years ago.

Status:
Fermé
Priority:
Haut
Assigned To:
Target version:
Start date:
Due date:
% Done:

100%

Distribution:
EOLE 2.3

Description

problème particulier identifié : il est impossible d'utiliser le guillemet simple dans une valeur retournée par le serveur CAS
en cause : la requête SELECT * FROM userattr WHERE attrname='...' AND attrvalue='...' et la non utilisation des méthodes "quote" ou "escape" prévues par l'objet de connexion à la BDD dans posh
fichiers identifiés :
- posh-profil/admin-attribut.php
- posh/includes/plugins/plugin_thumbs/plugin_thumbs.php
- posh/includes/plugins/plugin_xdesktop/inc_poshprofil.php

Il faudrait donc par sécurité échapper l'ensemble des données utilisées dans les requêtes.

Associated revisions

Revision 091acfd2 (diff)
Added by Lucas Francavilla over 6 years ago

Echappement des variables pouvant contenir des apostrophes fixes #5729

History

#1 Updated by Lucas Francavilla over 6 years ago

  • Assigned To set to Lucas Francavilla

#2 Updated by Anonymous over 6 years ago

  • Status changed from Nouveau to Résolu
  • % Done changed from 0 to 100

Appliqué par commit posh-profil|commit:091acfd293d1a414dc323f687ae2d6c1f3f45a79.

#3 Updated by Arnaud FORNEROT over 6 years ago

  • Status changed from Résolu to Fermé

Also available in: Atom PDF