•  » Utilisation
  •  » [1.7] Petit bug sur la focntion Edit des tags

#16 2007-08-21 11:03:26

Nicco
Membre
Paris - Val de Marne
2006-05-12
1794

Re: [1.7] Petit bug sur la focntion Edit des tags

pour moi c est peut etre a voir surtout avec la team pour savoir si c est un bug ou non ... donc vu au on en a un dans le poste ...

merci d avance P@t  :o)


Nicco Starrrr ..... voici ma galerie http://gallery-nicco.no-ip.org & ma passion http://bd-nicco.no-ip.org
version PWG 1.7.1 + de nombreux plugins actifs (trop pour les énumérer)

Hors ligne

#17 2007-08-24 10:33:17

plg
Équipe Piwigo
Nantes, France, Europe
2002-04-05
12671

Re: [1.7] Petit bug sur la focntion Edit des tags

J'abonde dans le sens deP@t, il ne faut pas retirer l'appel à la fonction mysql*l_escape_string, je ne l'ai pas mise là par hasard :-)


Les historiens ont établi que Pierrick était le premier utilisateur connu de Piwigo.

Hors ligne

#18 2007-08-24 11:59:24

Nicco
Membre
Paris - Val de Marne
2006-05-12
1794

Re: [1.7] Petit bug sur la focntion Edit des tags

tu abondes dans le sens de acp ou p@t ou c est le meme sens  ;-]


Nicco Starrrr ..... voici ma galerie http://gallery-nicco.no-ip.org & ma passion http://bd-nicco.no-ip.org
version PWG 1.7.1 + de nombreux plugins actifs (trop pour les énumérer)

Hors ligne

#19 2007-08-24 13:11:34

acp
Membre
1970-01-01
155

Re: [1.7] Petit bug sur la focntion Edit des tags

Oui, en effet il y a confusion là :). Par contre, si on les garde (je maintiens, c'est risqué de les enlever !), il faudra rajouter l'appel inverse qui enlève les slash et toute autre modification donc (strip_slashes ?) quand on relève les données de la BD...

Hors ligne

#20 2007-08-24 17:43:51

P@t
Ex Equipe Piwigo
Nice
2007-06-13
5695

Re: [1.7] Petit bug sur la focntion Edit des tags

acp a écrit:

Oui, en effet il y a confusion là :). Par contre, si on les garde (je maintiens, c'est risqué de les enlever !), il faudra rajouter l'appel inverse qui enlève les slash et toute autre modification donc (strip_slashes ?) quand on relève les données de la BD...

En effet, y'a confusion!

Ok... je vais essayer de m'occuper de ca dès mon retour de vacances...

Donc pour récapituler: il faudra donc rajouter cette fonction mysql_escape_string pour l'ajout des tags, et utiliser stripslashes lors de la récupération des tags...
Ca vous va?

Dernière modification par P@t (2007-08-24 17:44:31)


P@t

Hors ligne

#21 2007-09-17 15:09:23

VDigital
Former Piwigo Team
Montpellier (FR)
2005-05-04
15127

Re: [1.7] Petit bug sur la focntion Edit des tags

P@t: 734

8-)


Vincent -« Plus vidéaste averti que photographe amateur... »
La galerie - Le blog   

Piwigo est une application libre de gestion de photos en ligne.

Hors ligne

#22 2007-09-17 16:28:58

P@t
Ex Equipe Piwigo
Nice
2007-06-13
5695

Re: [1.7] Petit bug sur la focntion Edit des tags

Arf... oui, faut que je me mette à Gna...
Mais la, je réinstalle pas mal de trucs sur mon nouveau pc...

Je m'y met, je m'y met...


P@t

Hors ligne

#23 2007-09-18 09:43:14

P@t
Ex Equipe Piwigo
Nice
2007-06-13
5695

Re: [1.7] Petit bug sur la focntion Edit des tags

Ca y est, je me suis donc affecté le bug...

Par contre....

z0rglub a écrit:

il ne faut pas retirer l'appel à la fonction mysql*l_escape_string, je ne l'ai pas mise là par hasard :-)

Je ne comprend pas...cette fonction est la uniquement pour l'édition d'un tag...
Alors qu'elle n'existe pas pour l'ajout de commentaire, le nom d'une catégorie, la description d'une image, etc....
Donc, à mon avis, il faudrait la supprimer... ou l'ajouter pour tout le reste, non?


P@t

Hors ligne

#24 2007-09-18 10:12:36

VDigital
Former Piwigo Team
Montpellier (FR)
2005-05-04
15127

Re: [1.7] Petit bug sur la focntion Edit des tags

Il ne faut surtout pas l'enlever, tu as une variable $_POST ou $_GET le contenu doit être contrôlé avant d'être placé dans une requête SQL.

En gros, un exemple:
SELECT..... WHERE NAME = ' . $_POST['saisie']

dans $_POST['saisie'], un individu pourrait mettre ceci:

''; UPDATE TABLE phpwebgallery_user_infos SET status = 'webmaster';

Et après passer en Admin de ta galerie.

8-/


Vincent -« Plus vidéaste averti que photographe amateur... »
La galerie - Le blog   

Piwigo est une application libre de gestion de photos en ligne.

Hors ligne

#25 2007-09-18 10:16:14

VDigital
Former Piwigo Team
Montpellier (FR)
2005-05-04
15127

Re: [1.7] Petit bug sur la focntion Edit des tags

P@t a écrit:

Ca y est, je me suis donc affecté le bug...

http://phpwebgallery.net/doc/doku.php/en:svn_ssh_win32

8-)


Vincent -« Plus vidéaste averti que photographe amateur... »
La galerie - Le blog   

Piwigo est une application libre de gestion de photos en ligne.

Hors ligne

#26 2007-09-18 10:20:06

P@t
Ex Equipe Piwigo
Nice
2007-06-13
5695

Re: [1.7] Petit bug sur la focntion Edit des tags

VDigital a écrit:

Il ne faut surtout pas l'enlever, tu as une variable $_POST ou $_GET le contenu doit être contrôlé avant d'être placé dans une requête SQL.

Ok... mais alors pourquoi la fonction n'est pas la pour l'ajout d'un commentaire?
Alors que de toute facon, un tag est obligatoirement ajouté ou édité par un admin...


P@t

Hors ligne

#27 2007-09-18 11:04:43

VDigital
Former Piwigo Team
Montpellier (FR)
2005-05-04
15127

Re: [1.7] Petit bug sur la focntion Edit des tags

P@t a écrit:

VDigital a écrit:

Il ne faut surtout pas l'enlever, tu as une variable $_POST ou $_GET le contenu doit être contrôlé avant d'être placé dans une requête SQL.

Ok... mais alors pourquoi la fonction n'est pas la pour l'ajout d'un commentaire?
Alors que de toute facon, un tag est obligatoirement ajouté ou édité par un admin...

Cela se discute. Mais dans le cadre d'une évolution où les tags pourraient être définis ou attribués par les membres... Soyons prudent.

Donc mysql*_escape_string() pour tout, ajout ou màj.
Et stripslashes() en réception de la lecture.

Non?

8-)


Vincent -« Plus vidéaste averti que photographe amateur... »
La galerie - Le blog   

Piwigo est une application libre de gestion de photos en ligne.

Hors ligne

#28 2007-09-18 15:22:48

rvelices
Équipe Piwigo
2005-12-29
1417

Re: [1.7] Petit bug sur la focntion Edit des tags

voila quelque regles de fonctionnement:
les valeurs dans GET/POST/COOKIE sont automatiquement 'slashes'
  - on peut les utiliser tel quel dans les requetes SQL
  - on ne peut pas les utiliser tel quel pour faire des operations php (comparaisons etc) - il faut faire un stripslashes avant - attention apres un stripslashes il faut refaire un addslashes avant de les mettre dans une requete SQL
  - avant d'envoyer un GET / POST de nouveau dans le navigateur il faut faire stripslashes
 
- de toutes les facons, avant d'envoyer au template html il faut faire un htmlspecialchars (si le texte peut contenir notamment des <, >, ", ')

Hors ligne

#29 2007-09-18 15:40:21

VDigital
Former Piwigo Team
Montpellier (FR)
2005-05-04
15127

Re: [1.7] Petit bug sur la focntion Edit des tags

Merci rvelices.
8-)


Vincent -« Plus vidéaste averti que photographe amateur... »
La galerie - Le blog   

Piwigo est une application libre de gestion de photos en ligne.

Hors ligne

#30 2007-09-18 15:42:58

P@t
Ex Equipe Piwigo
Nice
2007-06-13
5695

Re: [1.7] Petit bug sur la focntion Edit des tags

Ah! C'est ce qu'il me semblait.
Donc si je comprend bien, on n'a pas besoin de controler avant d'envoyer à la base, vu que pour l'ajout ou l'édition d'un tag, le $tag_name arrive directement d'un $_POST
Il est donc déjà 'slashé'... non?

Dernière modification par P@t (2007-09-18 15:43:52)


P@t

Hors ligne

  •  » Utilisation
  •  » [1.7] Petit bug sur la focntion Edit des tags

Pied de page des forums

Propulsé par FluxBB

github twitter newsletter Faire un don Piwigo.org © 2002-2024 · Contact