Piwigo.org

Nicco · 2007-08-21 11:03:26

pour moi c est peut etre a voir surtout avec la team pour savoir si c est un bug ou non ... donc vu au on en a un dans le poste ...

merci d avance P@t :o)

plg · 2007-08-24 10:33:17

J'abonde dans le sens deP@t, il ne faut pas retirer l'appel à la fonction mysql*l_escape_string, je ne l'ai pas mise là par hasard :-)

Nicco · 2007-08-24 11:59:24

tu abondes dans le sens de acp ou p@t ou c est le meme sens ;-]

acp · 2007-08-24 13:11:34

Oui, en effet il y a confusion là :). Par contre, si on les garde (je maintiens, c'est risqué de les enlever !), il faudra rajouter l'appel inverse qui enlève les slash et toute autre modification donc (strip_slashes ?) quand on relève les données de la BD...

P@t · 2007-08-24 17:43:51

acp a écrit:
Oui, en effet il y a confusion là :). Par contre, si on les garde (je maintiens, c'est risqué de les enlever !), il faudra rajouter l'appel inverse qui enlève les slash et toute autre modification donc (strip_slashes ?) quand on relève les données de la BD...

En effet, y'a confusion!

Ok... je vais essayer de m'occuper de ca dès mon retour de vacances...

Donc pour récapituler: il faudra donc rajouter cette fonction mysql_escape_string pour l'ajout des tags, et utiliser stripslashes lors de la récupération des tags...
Ca vous va?

Dernière modification par P@t (2007-08-24 17:44:31)

VDigital · 2007-09-17 15:09:23

P@t: 734

8-)

P@t · 2007-09-17 16:28:58

Arf... oui, faut que je me mette à Gna...
Mais la, je réinstalle pas mal de trucs sur mon nouveau pc...

Je m'y met, je m'y met...

P@t · 2007-09-18 09:43:14

Ca y est, je me suis donc affecté le bug...

Par contre....

z0rglub a écrit:
il ne faut pas retirer l'appel à la fonction mysql*l_escape_string, je ne l'ai pas mise là par hasard :-)

Je ne comprend pas...cette fonction est la uniquement pour l'édition d'un tag...
Alors qu'elle n'existe pas pour l'ajout de commentaire, le nom d'une catégorie, la description d'une image, etc....
Donc, à mon avis, il faudrait la supprimer... ou l'ajouter pour tout le reste, non?

VDigital · 2007-09-18 10:12:36

Il ne faut surtout pas l'enlever, tu as une variable $_POST ou $_GET le contenu doit être contrôlé avant d'être placé dans une requête SQL.

En gros, un exemple:
SELECT..... WHERE NAME = ' . $_POST['saisie']

dans $_POST['saisie'], un individu pourrait mettre ceci:

''; UPDATE TABLE phpwebgallery_user_infos SET status = 'webmaster';

Et après passer en Admin de ta galerie.

8-/

VDigital · 2007-09-18 10:16:14

P@t a écrit:
Ca y est, je me suis donc affecté le bug...

http://phpwebgallery.net/doc/doku.php/en:svn_ssh_win32

8-)

P@t · 2007-09-18 10:20:06

VDigital a écrit:
Il ne faut surtout pas l'enlever, tu as une variable $_POST ou $_GET le contenu doit être contrôlé avant d'être placé dans une requête SQL.

Ok... mais alors pourquoi la fonction n'est pas la pour l'ajout d'un commentaire?
Alors que de toute facon, un tag est obligatoirement ajouté ou édité par un admin...

VDigital · 2007-09-18 11:04:43

P@t a écrit:
VDigital a écrit:
Il ne faut surtout pas l'enlever, tu as une variable $_POST ou $_GET le contenu doit être contrôlé avant d'être placé dans une requête SQL.
Ok... mais alors pourquoi la fonction n'est pas la pour l'ajout d'un commentaire?
Alors que de toute facon, un tag est obligatoirement ajouté ou édité par un admin...

Cela se discute. Mais dans le cadre d'une évolution où les tags pourraient être définis ou attribués par les membres... Soyons prudent.

Donc mysql*_escape_string() pour tout, ajout ou màj.
Et stripslashes() en réception de la lecture.

Non?

8-)

rvelices · 2007-09-18 15:22:48

voila quelque regles de fonctionnement:
les valeurs dans GET/POST/COOKIE sont automatiquement 'slashes'
- on peut les utiliser tel quel dans les requetes SQL
- on ne peut pas les utiliser tel quel pour faire des operations php (comparaisons etc) - il faut faire un stripslashes avant - attention apres un stripslashes il faut refaire un addslashes avant de les mettre dans une requete SQL
- avant d'envoyer un GET / POST de nouveau dans le navigateur il faut faire stripslashes

- de toutes les facons, avant d'envoyer au template html il faut faire un htmlspecialchars (si le texte peut contenir notamment des <, >, ", ')

VDigital · 2007-09-18 15:40:21

Merci rvelices.
8-)

P@t · 2007-09-18 15:42:58

Ah! C'est ce qu'il me semblait.
Donc si je comprend bien, on n'a pas besoin de controler avant d'envoyer à la base, vu que pour l'ajout ou l'édition d'un tag, le $tag_name arrive directement d'un $_POST
Il est donc déjà 'slashé'... non?

Dernière modification par P@t (2007-09-18 15:43:52)

Piwigo.org

Annonce

#16 2007-08-21 11:03:26

Re: [1.7] Petit bug sur la focntion Edit des tags

#17 2007-08-24 10:33:17

Re: [1.7] Petit bug sur la focntion Edit des tags

#18 2007-08-24 11:59:24

Re: [1.7] Petit bug sur la focntion Edit des tags

#19 2007-08-24 13:11:34

Re: [1.7] Petit bug sur la focntion Edit des tags

#20 2007-08-24 17:43:51

Re: [1.7] Petit bug sur la focntion Edit des tags

acp a écrit:

#21 2007-09-17 15:09:23

Re: [1.7] Petit bug sur la focntion Edit des tags

#22 2007-09-17 16:28:58

Re: [1.7] Petit bug sur la focntion Edit des tags

#23 2007-09-18 09:43:14

Re: [1.7] Petit bug sur la focntion Edit des tags

z0rglub a écrit:

#24 2007-09-18 10:12:36

Re: [1.7] Petit bug sur la focntion Edit des tags

#25 2007-09-18 10:16:14

Re: [1.7] Petit bug sur la focntion Edit des tags

P@t a écrit:

#26 2007-09-18 10:20:06

Re: [1.7] Petit bug sur la focntion Edit des tags

VDigital a écrit:

#27 2007-09-18 11:04:43

Re: [1.7] Petit bug sur la focntion Edit des tags

P@t a écrit:

VDigital a écrit:

#28 2007-09-18 15:22:48

Re: [1.7] Petit bug sur la focntion Edit des tags

#29 2007-09-18 15:40:21

Re: [1.7] Petit bug sur la focntion Edit des tags

#30 2007-09-18 15:42:58

Re: [1.7] Petit bug sur la focntion Edit des tags

Pied de page des forums