Fork me on GitHub




(1) 2 »


Lexikon - injection SQL
Team FrXoops
Inscrit: 14/05/2004 22:32
Messages: 2554
avec certains textes dans lexikon, j'ai l'erreur:
SQL injection found, a priori ça vient des apostrophes je pense,
comment puis-je régler ce problème ?
ce qui est bizarre c'est que c'est quand je modifie que j'ai l'erreur.
JJDai

Posté le : 04/02/2020 15:43

Ne pas perdre patience, même si cela semble impossible, c'est déjà de la patience.
Origami
Conseil des Sages
Sur gitHub
Partager Twitter Partagez cette article sur GG+
Re: Lexikon - injection SQL
Admin Frxoops
Inscrit: 16/05/2003 18:10
De Rhone-Alpes
Messages: 4051
Je ne suis pas expert, mais soit tu peux ajouter des caractères spécifiques genre //' ou /' ou autre,
soit c'est dans le code,
il faut qu'il passe dans une moulinette de textsanitizer.
Est-il compatible XOOPS Framework ?

La dernière version est ici.

Posté le : 04/02/2020 16:01

Open in new window
Partager Twitter Partagez cette article sur GG+
Re: Lexikon - injection SQL
Team FrXoops
Inscrit: 14/05/2004 22:32
Messages: 2554
Je crois que j'ai trouvé il utilise la fonction "decode" au lieu de "addSlashes", mais il y a un truc rigolo dans lexikon, quand j'écris:
Citation :
Le logiciel est conçu en approche orientée objet ...


j'ai le résultat suivant:
Citation :
Le logiciel est #OOPS#çu en approche orientée objet ...


Très drôle !!! je suppose que c'est la fonction "censorString", mai je n'ai pas le mot c o n dans les terme censurés, ou puis-je trouver ça ?
JJDai

Posté le : 04/02/2020 16:09

Ne pas perdre patience, même si cela semble impossible, c'est déjà de la patience.
Origami
Conseil des Sages
Sur gitHub
Partager Twitter Partagez cette article sur GG+
Re: Lexikon - injection SQL
Admin Frxoops
Inscrit: 16/05/2003 18:10
De Rhone-Alpes
Messages: 4051
Si,
tu l'as dans le système ici :

/modules/system/admin.php?fct=preferences&op=show&confcat_id=4

sinon dans le module éventuellement.

Posté le : 04/02/2020 16:11

Open in new window
Partager Twitter Partagez cette article sur GG+
Re: Lexikon - injection SQL
Team FrXoops
Inscrit: 14/05/2004 22:32
Messages: 2554
en fait j'ai l'impression que c'est un bug de xoops , il y a bien le mot c o n ,
Le problème est que XOOPS s'arrête au "ç",
si j'écris:
Citation :
conçevoir et concevoir

résultat :
Citation :
#OOPS#çevoir et concevoir


Comment puis-je règler ça ?
JJDai

Posté le : 04/02/2020 16:16

Ne pas perdre patience, même si cela semble impossible, c'est déjà de la patience.
Origami
Conseil des Sages
Sur gitHub
Partager Twitter Partagez cette article sur GG+
Re: Lexikon - injection SQL
Team FrXoops
Inscrit: 14/05/2004 22:32
Messages: 2554
oui je sais, mais j'ai fais la fote exprès, j'avais pas d'autres exemple en tête.
JJDai

Posté le : 04/02/2020 16:19

Ne pas perdre patience, même si cela semble impossible, c'est déjà de la patience.
Origami
Conseil des Sages
Sur gitHub
Partager Twitter Partagez cette article sur GG+
Re: Lexikon - injection SQL
Team FrXoops
Inscrit: 14/05/2004 22:32
Messages: 2554
pour l'instant j'ai retiré le mot en question de la liste des mots censurés, mais ça reste un problème embêtant.
JJDai

Posté le : 04/02/2020 16:22

Ne pas perdre patience, même si cela semble impossible, c'est déjà de la patience.
Origami
Conseil des Sages
Sur gitHub
Partager Twitter Partagez cette article sur GG+
Re: Lexikon - injection SQL
Admin Frxoops
Inscrit: 16/05/2003 18:10
De Rhone-Alpes
Messages: 4051
je dirais "simple",

ajoute un espace à la fin du mot,

exemple :
mot_avant|CON |mot_suivant|autre_mot

A tester !

Posté le : 04/02/2020 16:23

Open in new window
Partager Twitter Partagez cette article sur GG+
Re: Lexikon - injection SQL
Admin Frxoops
Inscrit: 04/03/2011 09:10
De Lot
Messages: 2837
ça va déconné avec abscon

Posté le : 04/02/2020 17:42
Partager Twitter Partagez cette article sur GG+
Re: Lexikon - injection SQL
Team FrXoops
Inscrit: 14/05/2004 22:32
Messages: 2554
non j'avais testé, mais avant ou après l'espace n'y fait rien, il doit y avoir un trim quelque part.
Je pense que c'est a cause de l'utf8 qui ajoute un caractère d’échappement, mais je me trompe peut être !
JJDai

Posté le : 04/02/2020 17:56

Ne pas perdre patience, même si cela semble impossible, c'est déjà de la patience.
Origami
Conseil des Sages
Sur gitHub
Partager Twitter Partagez cette article sur GG+

 Haut   Précédent   Suivant
(1) 2 »



Vous pouvez voir les sujets.
Vous ne pouvez pas débuter de nouveaux sujets.
Vous ne pouvez pas répondre aux contributions.
Vous ne pouvez pas éditer vos contributions.
Vous ne pouvez pas effacez vos contributions.
Vous ne pouvez pas ajouter de nouveaux sondages.
Vous ne pouvez pas voter en sondage.
Vous ne pouvez pas attacher des fichiers à vos contributions.
Vous ne pouvez pas poster sans approbation.

Propulsé avec XOOPS | Graphisme adapté par Tatane, Grosdunord, Montuy337513

51 Personne(s) en ligne (38 Personne(s) connectée(s) sur Forum) | Utilisateur(s): 0 | Invité(s): 51 | Plus ...