Användare i denna diskussion

Kategorier

Kortkommandon

The Movie Database Support

SupportAPI-support

JR

SECURITY ISSUE!

Inlagt av Joe Rose
STAFFMOD
den 8 juni 2015 vid 9:29 PM

Travis;

This just tripped a SECURITY ALERT in my app during a movie scrape!

Record: 313022 Trailer Path: Path: http://www.youtube.com/watch?v=

Html code in a database record??? Not good.

Please comment.

Joe

3 svar (på sida 1 av 1)

Jump to last post

JR

Svar från  Joe Rose

STAFFMOD

den 8 juni 2015 vid 9:32 PM

Travis;

Sure enough! It executed in this post!

Travis Bell

Svar från  Travis Bell

STAFFMOD

den 8 juni 2015 vid 11:29 PM

Hi Joe,

I don't believe there's any sanitization on the video field. I've created a new ticket for this here. It's very much related to ticket #887, so I'll do them both at the same time.

LordMike

Svar från  LordMike

STAFFMOD

den 15 juni 2015 vid 5:04 PM

Uh .. just for the record. It is perfectly fine to have HTML or any other form of "code" or "markup" in the database. In fact - it should stay in that format.

It is YOUR job as a consumer to sanitize/encode values when presenting them, because only YOU know which format they should go in. (As an example, for HTML, there are different encodings depending on if you want some text in the body, attributes, javascript or css).

Mike

Kan du inte hitta en film eller tv-serie? Logga in för att skapa den.

Logga in

Bli medlem

Globala

s fokus på sökrutan
p öppna profilmenyn
esc stäng ett öppet fönster
? öppna tangentbordsgenväg fönstret

På mediasidor

b gå tillbaka (eller till förälder när det är tillämpligt)
e gå till redigerings sidan

På tv-säsongssidor

(höger pil) gå till nästa säsong
(vänster pil) gå till den föregående säsongen

På tv-avsnittssidor

(höger pil) gå till nästa avsnitt
(vänster pil) gå till föregående avsnitt

På alla bildsidor

a öppna lägg till bild fönstret

På alla redigeringssidor

t öppna översättnings väljaren
ctrl+ s skicka förmulär

På diskussionssidor

n skapa ny diskussion
w växla sedd-status
p växla offentligt/privat
c växla stäng/öppna
a öppna aktivitet
r svara på diskussionen
l gå till det senaste svaret
ctrl+ enter skicka ditt meddelande
(höger pil) nästa sida
(vänster pil) föregående sida

Inställningar

Vill du betygsätta denna artikel eller lägga till den i en lista?

Logga in

Inte medlem?

Registrera dig och gå med i vårat community