Σφάλματα #119
Έλλειψη addslashes στη διαδικασία εγκατάστασης
100%
Description
Κατά την διαδικασία εγκατάστασης, δεν γίνεται κάποιο input sanitization με αποτέλεσμα να μπορεί να γίνει inject κάποιο κομμάτι κώδικα στο αρχείο config.php
Παρατηρήθηκε όταν το όνομα μιας εγκατάστασης περιείχε μια απόστροφο ('), η οποία προκαλούσε php error με blank page. Ίσως μετά τη κλήση της register_posted_variables()
ή και μέσα στην register_posted_variables() να καλούνταν και η addslashes για να εξαλειφόταν αυτός ο κίνδυνος.
History
Updated by Αλέξανδρος Διαμαντίδης about 11 years ago
Updated by - Status changed from Νέα to Επιλυμένο
- % Done changed from 0 to 100
Σας ευχαριστούμε για την επισήμανση του προβλήματος! Το θέμα έχει λυθεί στην έκδοση 2.8 της πλατφόρμας που μόλις κυκλοφόρησε. Ενημερωτικά, στην υπό ανάπτυξη έκδοση 3 δεν υπήρχε το πρόβλημα αυτό καθώς όλες οι ρυθμίσεις (εκτός από τα στοιχεία σύνδεσης με τη βάση δεδομένων) αποθηκεύονται στη βάση, με το σωστό escaping/sanitization.