Re: [Dolibarr-foundation-board] la sécurité !!

[Laurent Destailleur (eldy)]

Notons que cela ne sera pas suffisant.
En effet, il y aura tjs des parametres non nettoyés car ce sont des 
champs libres en post dans un formulaire par exemple et il doivent 
rester intact pour ne pas dénaturé la saisie.
Et que c'est surtout au niveau des echappement de requete en ajoutant 
db->escape sur les chaines, dol_escape_js sur le infos qui servent a 
fabriquer du javascript et dol_escape_html sur ce qui sert a fabriquer 
du html que les trous d'injection sql seront vraiement et complètement 
corrigés.

Mais il est vrai que les GETPOST corrigera 95% d'un coup.


Le 27/02/2012 17:47, Régis Houssin a écrit :
> la 3.1 et la 3.2 sont rempli de trou de sécurité de ce genre,
> il faudrait le faire une bonne fois pour toute sur la 3.2
>
> remplacer tout les GET/POST/REQUEST
> par un GETPOST('value','int ou alpha')
> int ou alpha sont très important, sinon le GETPOST() ne sert à rien
>
>
>
> Le 27/02/12 16:57, Juanjo Menent a écrit :
> > il faudra le fixer pour le v3.1.1, non?
> >
> > El lun, 27-02-2012 a las 16:15 +0100, Régis Houssin escribió:
> > > http://osvdb.org/search?search[vuln_title]=dolibarr&search[text_type]=alltext<http://osvdb.org/search?search[vuln_title]=dolibarr&search[text_type]=alltext>
> > >
> > >
> > >
> > > Cordialement,
> Cordialement,

--
Eldy (Laurent Destailleur).
---------------------------------------------------------------
EMail: address@hidden
Web: http://www.destailleur.fr

Dolibarr (Project leader): http://www.dolibarr.org
To make a donation for Dolibarr project via Paypal: address@hidden
AWStats (Author) : http://awstats.sourceforge.net
To make a donation for AWStats project via Paypal: address@hidden
AWBot (Author) : http://awbot.sourceforge.net
CVSChangeLogBuilder (Author) : http://cvschangelogb.sourceforge.net