And about the rude rule of double quote, should we change it for ="" (I said «we» because with rexep I m not an expert with this) or it's a dumb idea ?
Le 15 août 2012 22:16, "Laurent Destailleur (Eldy)" <
address@hidden> a écrit :
It is not the role of getpost to transform data to be sanitized for usage into html tag. For this you must use dol_escape_html during html output. Getpost must avoid to transform data for special char because there is a lot of case we need to have it safe.
Le 14 août 2012 16:38, "Florian Henry" <
address@hidden> a écrit :
Hello,
I wonder something with the GETPOST method.
It check for 'alpha' if there is " (double quote) in the input variable and in this case, result is blank. I think it's a little bit hard.
The comment on the top of this check is // '"' is dangerous because param in url can close the href= "" src= "" add _javascript_ functions.
Why do not test if =" (equal (many space) and double quote) is in the input variable and in this case result will be blank ?
I'm not an expert of hacking so if my approach is wrong do not hesitate to tell me.
Kind regards
---------
Bonjour a tous,
Je me pose une question sur la vérification alpha de la method GETPOST.
Si la chaîne contient " (guillemet) elle retourne une chaine vide. Je pense que c'est un peu rude comme test. Il est fréquent d'utiliser des guillemets dans du texte.
Dans le commentaire au dessus de cette vérification il est dit : guillemet est dangereux car les paramétré en URL avec href ou src peuvent inclure des instruction _javascript_.
Pourquoi ne pas tester =" (égale (*espace) guillemet) et renvoyer une chaîne vide dans ce cas.
Je ne suis pas un expert des technique de hack donc dites moi si je me trompe.
Cdt.
--
Florian HENRY
address@hidden
+33 6 03 76 48 07
http://www.open-concept.pro
_______________________________________________
Dolibarr-dev mailing list
address@hidden
https://lists.nongnu.org/mailman/listinfo/dolibarr-dev
_______________________________________________
Dolibarr-dev mailing list
address@hidden
https://lists.nongnu.org/mailman/listinfo/dolibarr-dev