المستخدمين في هذه المحادثة

الفئات

اختصارات لوحة المفاتيح

دعم الموقع

الدعمدعم API

JR

SECURITY ISSUE!

نشر بواسطة Joe Rose
STAFFMOD
في يونيو 8, 2015 عند الساعة 9:29 مساءا

Travis;

This just tripped a SECURITY ALERT in my app during a movie scrape!

Record: 313022 Trailer Path: Path: http://www.youtube.com/watch?v=

Html code in a database record??? Not good.

Please comment.

Joe

3 ردود (على هذه الصفحة 1 من 1)

Jump to last post

JR

رد بواسطة  Joe Rose

STAFFMOD

بتاريخ يونيو 8, 2015 في 9:32 مساءا

Travis;

Sure enough! It executed in this post!

Travis Bell

رد بواسطة  Travis Bell

STAFFMOD

بتاريخ يونيو 8, 2015 في 11:29 مساءا

Hi Joe,

I don't believe there's any sanitization on the video field. I've created a new ticket for this here. It's very much related to ticket #887, so I'll do them both at the same time.

LordMike

رد بواسطة  LordMike

STAFFMOD

بتاريخ يونيو 15, 2015 في 5:04 مساءا

Uh .. just for the record. It is perfectly fine to have HTML or any other form of "code" or "markup" in the database. In fact - it should stay in that format.

It is YOUR job as a consumer to sanitize/encode values when presenting them, because only YOU know which format they should go in. (As an example, for HTML, there are different encodings depending on if you want some text in the body, attributes, javascript or css).

Mike

لم تجد الفلم أو المسلسل ؟ سجل دخولك و انشئها

تسجيل الدخول

التسجيل

عام

s ركز شريط البحث
p افتح قائمة الملف الشخصي
esc اغلق النافذة المفتوحة
? افتح نافذة اختصارات لوحة المفاتيح

على كافة صفحات الوسائط

b ارجع للخلف (او للصفحة الام عند التطبيق)
e انتقل لصفحة التعديل

على كافة صفحات موسم المسلسل

(السهم الايمن) انتقل للموسم التالي
(السهم الايسر) انتقل للموسم السابق

على كافة صفحات حلقة المسلسل

(السهم الايمن) انتقل للحلقة التالية
(السهم الايسر) انتقل للحلقة السابقة

على كافة صفحات الصور

a افتح صفحة اضافة الصورة

على كافة صفحات التعديل

t افتح محدد الترجمة
ctrl+ s ارسال النموذج

على صفحات المناقشة

n انشى نقاش جديد
w تبديل حالة المتابعة
p تبديل عام / خاص
c تبديل اغلاق / فتح
a افتح الانشطة
r رد على النقاش
l انتقل لأخر رد
ctrl+ enter أرسل رسالتك
(السهم الايمن) الصفحة التالية
(السهم الايسر) الصفحة السابقة

الاعدادات

هل تريد تقييم او اضافة هذا العنصر للقائمة؟

تسجيل الدخول

لست عضو؟

سجل و انضم الى المجتمع