[Top][All Lists]
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[Dolibarr-dev] GETPOST check alpha
From: |
Florian Henry |
Subject: |
[Dolibarr-dev] GETPOST check alpha |
Date: |
Tue, 14 Aug 2012 16:38:12 +0200 |
User-agent: |
Mozilla/5.0 (X11; Linux x86_64; rv:14.0) Gecko/20120714 Thunderbird/14.0 |
Hello,
I wonder something with the GETPOST method.
It check for 'alpha' if there is " (double quote) in the input
variable and in this case, result is blank. I think it's a little bit hard.
The comment on the top of this check is // '"' is dangerous because
param in url can close the href= or src= and add javascript functions.
Why do not test if =" (equal (many space) and double quote) is in
the input variable and in this case result will be blank ?
I'm not an expert of hacking so if my approach is wrong do not
hesitate to tell me.
Kind regards
---------
Bonjour a tous,
Je me pose une question sur la vérification alpha de la method GETPOST.
Si la chaîne contient " (guillemet) elle retourne une chaine vide.
Je pense que c'est un peu rude comme test. Il est fréquent d'utiliser
des guillemets dans du texte.
Dans le commentaire au dessus de cette vérification il est dit :
guillemet est dangereux car les paramétré en URL avec href ou src
peuvent inclure des instruction javascript.
Pourquoi ne pas tester =" (égale (*espace) guillemet) et renvoyer
une chaîne vide dans ce cas.
Je ne suis pas un expert des technique de hack donc dites moi si je
me trompe.
Cdt.
--
Florian HENRY
address@hidden
+33 6 03 76 48 07
http://www.open-concept.pro
- [Dolibarr-dev] GETPOST check alpha,
Florian Henry <=