Fork me on GitHub




(1) 2 »


Lexikon - injection SQL
Team FrXoops
Inscrit: 14/05/2004 22:32
Messages: 2114
avec certains textes dans lexikon, j'ai l'erreur:
SQL injection found, a priori ça vient des apostrophes je pense,
comment puis-je régler ce problème ?
ce qui est bizarre c'est que c'est quand je modifie que j'ai l'erreur.
JJDai

Posté le : 04/02 15:43

Ne pas perdre patience, même si cela semble impossible, c'est déjà de la patience.
Origami
Pli'Art Origami
[url=http://mfpp-origami.fr]Mouvement Français des Plieurs de Papie...
Partager Twitter Partagez cette article sur GG+
Re: Lexikon - injection SQL
Admin Frxoops
Inscrit: 16/05/2003 18:10
De Rhone-Alpes
Messages: 3610
Je ne suis pas expert, mais soit tu peux ajouter des caractères spécifiques genre //' ou /' ou autre,
soit c'est dans le code,
il faut qu'il passe dans une moulinette de textsanitizer.
Est-il compatible XOOPS Framework ?

La dernière version est ici.

Posté le : 04/02 16:01

Open in new window
Partager Twitter Partagez cette article sur GG+
Re: Lexikon - injection SQL
Team FrXoops
Inscrit: 14/05/2004 22:32
Messages: 2114
Je crois que j'ai trouvé il utilise la fonction "decode" au lieu de "addSlashes", mais il y a un truc rigolo dans lexikon, quand j'écris:
Citation :
Le logiciel est conçu en approche orientée objet ...


j'ai le résultat suivant:
Citation :
Le logiciel est #OOPS#çu en approche orientée objet ...


Très drôle !!! je suppose que c'est la fonction "censorString", mai je n'ai pas le mot c o n dans les terme censurés, ou puis-je trouver ça ?
JJDai

Posté le : 04/02 16:09

Ne pas perdre patience, même si cela semble impossible, c'est déjà de la patience.
Origami
Pli'Art Origami
[url=http://mfpp-origami.fr]Mouvement Français des Plieurs de Papie...
Partager Twitter Partagez cette article sur GG+
Re: Lexikon - injection SQL
Admin Frxoops
Inscrit: 16/05/2003 18:10
De Rhone-Alpes
Messages: 3610
Si,
tu l'as dans le système ici :

/modules/system/admin.php?fct=preferences&op=show&confcat_id=4

sinon dans le module éventuellement.

Posté le : 04/02 16:11

Open in new window
Partager Twitter Partagez cette article sur GG+
Re: Lexikon - injection SQL
Team FrXoops
Inscrit: 14/05/2004 22:32
Messages: 2114
en fait j'ai l'impression que c'est un bug de xoops , il y a bien le mot c o n ,
Le problème est que XOOPS s'arrête au "ç",
si j'écris:
Citation :
conçevoir et concevoir

résultat :
Citation :
#OOPS#çevoir et concevoir


Comment puis-je règler ça ?
JJDai

Posté le : 04/02 16:16

Ne pas perdre patience, même si cela semble impossible, c'est déjà de la patience.
Origami
Pli'Art Origami
[url=http://mfpp-origami.fr]Mouvement Français des Plieurs de Papie...
Partager Twitter Partagez cette article sur GG+
Re: Lexikon - injection SQL
Team FrXoops
Inscrit: 14/05/2004 22:32
Messages: 2114
oui je sais, mais j'ai fais la fote exprès, j'avais pas d'autres exemple en tête.
JJDai

Posté le : 04/02 16:19

Ne pas perdre patience, même si cela semble impossible, c'est déjà de la patience.
Origami
Pli'Art Origami
[url=http://mfpp-origami.fr]Mouvement Français des Plieurs de Papie...
Partager Twitter Partagez cette article sur GG+
Re: Lexikon - injection SQL
Team FrXoops
Inscrit: 14/05/2004 22:32
Messages: 2114
pour l'instant j'ai retiré le mot en question de la liste des mots censurés, mais ça reste un problème embêtant.
JJDai

Posté le : 04/02 16:22

Ne pas perdre patience, même si cela semble impossible, c'est déjà de la patience.
Origami
Pli'Art Origami
[url=http://mfpp-origami.fr]Mouvement Français des Plieurs de Papie...
Partager Twitter Partagez cette article sur GG+
Re: Lexikon - injection SQL
Admin Frxoops
Inscrit: 16/05/2003 18:10
De Rhone-Alpes
Messages: 3610
je dirais "simple",

ajoute un espace à la fin du mot,

exemple :
mot_avant|CON |mot_suivant|autre_mot

A tester !

Posté le : 04/02 16:23

Open in new window
Partager Twitter Partagez cette article sur GG+
Re: Lexikon - injection SQL
Admin Frxoops
Inscrit: 04/03/2011 09:10
De Lot
Messages: 2630
ça va déconné avec abscon

Posté le : 04/02 17:42
Partager Twitter Partagez cette article sur GG+
Re: Lexikon - injection SQL
Team FrXoops
Inscrit: 14/05/2004 22:32
Messages: 2114
non j'avais testé, mais avant ou après l'espace n'y fait rien, il doit y avoir un trim quelque part.
Je pense que c'est a cause de l'utf8 qui ajoute un caractère d’échappement, mais je me trompe peut être !
JJDai

Posté le : 04/02 17:56

Ne pas perdre patience, même si cela semble impossible, c'est déjà de la patience.
Origami
Pli'Art Origami
[url=http://mfpp-origami.fr]Mouvement Français des Plieurs de Papie...
Partager Twitter Partagez cette article sur GG+

 Haut   Précédent   Suivant
(1) 2 »




Propulsé avec XOOPS | Graphisme adapté par Tatane, Grosdunord, Montuy337513

18 Personne(s) en ligne (6 Personne(s) connectée(s) sur Forum) | Utilisateur(s): 0 | Invité(s): 18 | Plus ...