Užívatelia v tejto diskusií

Kategórie

Klávesové skratky

The Movie Database podpora

PodporaAPI podpora

JR

SECURITY ISSUE!

odoslané Joe Rose
STAFFMOD
dňa 8. jún, 2015 o 9:29PM

Travis;

This just tripped a SECURITY ALERT in my app during a movie scrape!

Record: 313022 Trailer Path: Path: http://www.youtube.com/watch?v=

Html code in a database record??? Not good.

Please comment.

Joe

3 odpoveďí (na strane 1 z 1)

Jump to last post

JR

Odpoveď od  Joe Rose

STAFFMOD

dňa 8. jún, 2015 o 9:32PM

Travis;

Sure enough! It executed in this post!

Travis Bell

Odpoveď od  Travis Bell

STAFFMOD

dňa 8. jún, 2015 o 11:29PM

Hi Joe,

I don't believe there's any sanitization on the video field. I've created a new ticket for this here. It's very much related to ticket #887, so I'll do them both at the same time.

LordMike

Odpoveď od  LordMike

STAFFMOD

dňa 15. jún, 2015 o 5:04PM

Uh .. just for the record. It is perfectly fine to have HTML or any other form of "code" or "markup" in the database. In fact - it should stay in that format.

It is YOUR job as a consumer to sanitize/encode values when presenting them, because only YOU know which format they should go in. (As an example, for HTML, there are different encodings depending on if you want some text in the body, attributes, javascript or css).

Mike

Nemôžeš nájsť film alebo seriál? Prihlás sa a pridaj ho.

Prihlásiť sa

Registrácia

Globálne

s zamerať sa na vyhľadávací riadok
p otvoriť menu profilu
esc zatvoriť otvorené okno
? otvoriť okno klávesových skratiek

Na média stránkach

b ísť späť (do rodičovského pokiaľ možno)
e íst na stránku úprav

Na stránkach seriálových serií

(pravá šípka) ísť na nasledujúcu sériu
(ľavá šípka) ísť na predchádzajúcu sériu

Na stránkach seriálových epizód

(pravá šípka) ísť na nasledujúcu epizódu
(ľavá šipka) isť na predchádzajúcu epizódu

Na všetkých obrázkových strankach

a otvoriť okno pre pridanie obrázku

Na všetkých stránkach úprav

t otvoriť výber prekladu
ctrl+ s odoslať formulár

Na stránkach diskusií

n vytvoriť novú diskusiu
w prepínač stavu pozerania
p prepínač verejný/súkromný
c prepínač zatvorený/otvorený
a otvoriť aktivitu
r odpovedať v diskusií
l ísť na poslednú odpoveď
ctrl+ enter odoslať vašu správu
(pravá šípka) nasledujúca strana
(ľavá šípka) predchádzajúca strana

Nastavenia

Chcete ohodnotiť alebo pridať túto položku do zoznamu?

Prihlásiť sa

Nie ste členom?

Zaregistrujte sa a pripojte sa ku komunite