Piwigo.org

Eric · 2011-03-28 17:26:39

Gotcha a écrit:
Il me semblais bien l'avoir vu quelque part et je suis allé trop vite en épluchant la page de configuration de UAM.

Eric, penses-tu que la suppression des deux caractères < et > suffiront à empêcher l'injection de mauvais code dans le username ??

Je pense que oui, ces caractères identifiant généralement tout code html, xml ou encore php.

Gotcha a écrit:
Et si c'est oui, saurais-tu l'inclure dans le CORE ?

Peut-être... Mais avant tout, j'aimerai l'avis de plg et du reste de l'équipe sur la pertinence d'un tel dispositif. Je ne maitrise pas vraiment les risques que pourrait engendrer l'insertion de code à la place du username à l'inscription.

J'ai déjà fait un mp à plg sur le sujet mais il a dû passer à l'as. Je le notifie sur ce topic.

LucMorizur · 2011-03-28 21:10:26

Eric a écrit:
avant tout, j'aimerai l'avis de plg et du reste de l'équipe sur la pertinence d'un tel dispositif. Je ne maitrise pas vraiment les risques que pourrait engendrer l'insertion de code à la place du username à l'inscription.

+1.

Car pour le moment, je n'ai réussi à provoquer l'ouverture d'une fenêtre popup, que dans l'administration. Mais, pour le coup, ça "fonctionne" très bien.

flop25 · 2011-03-28 23:22:38

Gotcha a écrit:
flop25 a écrit:
en effet cela pose un problème !
Lequel ??? Seul le membre peux voir afficher son code inséré dans son identifiant...

réponse (again) :

LucMorizur a écrit:
Car pour le moment, je n'ai réussi à provoquer l'ouverture d'une fenêtre popup, que dans l'administration . Mais, pour le coup, ça "fonctionne" très bien.

et moi même :

flop25 a écrit:
je ne sais pas... il met une iframe qui peut poser des problèmes de sécurités, il peut casser le rendu css/html sans s'en rendre compte etc

solution :

http://php.net/manual/fr/function.strip-tags.php

vous pouvez créer un ticket dans le bugtracker

Dernière modification par flop25 (2011-03-28 23:24:52)

LucMorizur · 2011-03-29 00:12:35

flop25 a écrit:
solution :

http://php.net/manual/fr/function.strip-tags.php

Pas plutôt http://fr.php.net/manual/fr/function.ht … lchars.php ?

flop25 a écrit:
vous pouvez créer un ticket dans le bugtracker

[Bugtracker] ticket 2234

:-)

Gotcha · 2011-03-29 00:17:16

Merci Luc pour l'ouverture du ticket :-)

Quand à la solution, là comme ça je dirait que vos 2 idées sont bonnes mais...
Mais je suis plus partisan de bloquer l'inscription en cas de présence d'un caractère interdit. Ca ne sert à rien de laisser entrer un visiteur qui va créer un compte et ne pas pouvoir s'identifier parceque Piwigo aura formaté son identifiant.

Bon ok, je n'ai jamais vu un membre avec un nom comportant des balises HTML/PHP ^_^;

LucMorizur · 2011-03-29 00:26:19

Gotcha a écrit:
Merci Luc pour l'ouverture du ticket :-)

Mais de rien :-) !

Gotcha a écrit:
Quand à la solution, là comme ça je dirait que vos 2 idées sont bonnes mais...
Mais je suis plus partisan de bloquer l'inscription en cas de présence d'un caractère interdit. Ca ne sert à rien de laisser entrer un visiteur qui va créer un compte et ne pas pouvoir s'identifier parceque Piwigo aura formaté son identifiant.

L'idée était plus que les caractères spéciaux soient affichés. En utilisant htmlspecialchars (de façon judicieuse), on permet que l'utilisateur qui s'enregistre avec le compte « AB » ne soit pas affiché

A

B

mais

AB

C'est exactement ce que fait le forum d'ailleurs, car à chacun des « » du présent message, par exemple, il n'affiche pas un nouveau paragraphe, mais « » tout simplement. Car il convertit « < » en « < » etc (comme cela se vérifie très simplement dans le "code source" de la présente page), et ça affiche « < », tout simplement.

Gotcha a écrit:
Bon ok, je n'ai jamais vu un membre avec un nom comportant des balises HTML/PHP ^_^;

Moi non plus... mais je crains qu'après le présent sujet on en voie, hélas...

Disons en tous cas qu'on voit souvent des tentatives malveillantes sur le net.

Dernière modification par LucMorizur (2011-03-29 00:28:36)

flop25 · 2011-03-29 17:44:27

LucMorizur a écrit:
flop25 a écrit:
solution :

http://php.net/manual/fr/function.strip-tags.php
Pas plutôt http://fr.php.net/manual/fr/function.ht … lchars.php ?

ha oui pourquoi pas Après c'est une question de gout ^^

Eric · 2011-03-29 18:16:29

Gotcha a écrit:
Merci Luc pour l'ouverture du ticket :-)

Quand à la solution, là comme ça je dirait que vos 2 idées sont bonnes mais...
Mais je suis plus partisan de bloquer l'inscription en cas de présence d'un caractère interdit. Ca ne sert à rien de laisser entrer un visiteur qui va créer un compte et ne pas pouvoir s'identifier parceque Piwigo aura formaté son identifiant.

+1
Qu'un utilisateur choisisse un username contenant du code est malsain selon moi. Je serai pour une exclusion pure et simple.

P@t · 2011-03-29 22:02:35

Le bug est résolu: les balises html ne sont pas autorisées dans le username

LucMorizur · 2011-03-29 22:37:06

Eric a écrit:
Qu'un utilisateur choisisse un username contenant du code est malsain selon moi. Je serai pour une exclusion pure et simple.

Effectivement, je n'avais pas vu ça de cette façon.

P@t a écrit:
Le bug est résolu: les balises html ne sont pas autorisées dans le username

Merci P@t :-)

Gotcha · 2011-03-30 13:50:41

P@t a écrit:
Le bug est résolu: les balises html ne sont pas autorisées dans le username

Quand P@t passe, les problèmes trépassent :-D

Merci P@t ;-)

Piwigo.org

Annonce

#16 2011-03-28 17:26:39

Re: [Résolu] [2.2.0RC4] Balises HTML non échappées dans le username ?!

Gotcha a écrit:

Gotcha a écrit:

#17 2011-03-28 21:10:26

Re: [Résolu] [2.2.0RC4] Balises HTML non échappées dans le username ?!

Eric a écrit:

#18 2011-03-28 23:22:38

Re: [Résolu] [2.2.0RC4] Balises HTML non échappées dans le username ?!

Gotcha a écrit:

flop25 a écrit:

LucMorizur a écrit:

flop25 a écrit:

#19 2011-03-29 00:12:35

Re: [Résolu] [2.2.0RC4] Balises HTML non échappées dans le username ?!

flop25 a écrit:

flop25 a écrit:

#20 2011-03-29 00:17:16

Re: [Résolu] [2.2.0RC4] Balises HTML non échappées dans le username ?!

#21 2011-03-29 00:26:19

Re: [Résolu] [2.2.0RC4] Balises HTML non échappées dans le username ?!

Gotcha a écrit:

Gotcha a écrit:

Gotcha a écrit:

#22 2011-03-29 17:44:27

Re: [Résolu] [2.2.0RC4] Balises HTML non échappées dans le username ?!

LucMorizur a écrit:

flop25 a écrit:

#23 2011-03-29 18:16:29

Re: [Résolu] [2.2.0RC4] Balises HTML non échappées dans le username ?!

Gotcha a écrit:

#24 2011-03-29 22:02:35

Re: [Résolu] [2.2.0RC4] Balises HTML non échappées dans le username ?!

#25 2011-03-29 22:37:06

Re: [Résolu] [2.2.0RC4] Balises HTML non échappées dans le username ?!

Eric a écrit:

P@t a écrit:

#26 2011-03-30 13:50:41

Re: [Résolu] [2.2.0RC4] Balises HTML non échappées dans le username ?!

P@t a écrit:

Pied de page des forums