Project

General

Profile

Actions

Feature #12039

open

Missing htmlSpecialChar() in pre processing on form submit

Added by Carsten Rose almost 2 years ago. Updated almost 2 years ago.

Status:
New
Priority:
Normal
Assignee:
-
Target version:
Start date:
18.02.2021
Due date:
% Done:

0%

Estimated time:
Discuss:
Prio Planung:

Description

Wird auf Formularelemente mittels '{{notiz:F:allbut}}' zugegriffen, sind dies VERMUTLICH nicht htmlSpecialChar kodiert.

  • Check ob dem so ist.

Damit waere das folgende einem potentiellen SQL Inject Angriff ausgeliefert (notiz="1' OR 1")

sqlValidate = {{!SELECT n.notiz FROM notiz AS n WHERE  n.gr_id={{gr_id:RS0}} AND n.category=0  AND n.file_typ="Uebung" AND n.notiz='{{notiz:F:allbut}}'  AND n.id != 
{{id:R0}} }}

  • Abhilfe koennte eine neue Escape Klasse sein, die bei Default beim STORE_FORM htmlSpecialChar() anwendet.
  • Achtung: was passeirt wenn nicht mit single sondern mit double quotes im SQL Statement gearbeitet wird?
  • In der QFQ Doc bei den Bestpractices angeben das immer mit single quotes gearbeitet werden soll.

Related issues

Related to QFQ - Feature #14320: Allow specific HTML Tags and Attributes: general, TinyMCEFeedbackCarsten Rose14.06.2022

Actions
Actions #1

Updated by Carsten Rose almost 2 years ago

  • Tracker changed from Support to Feature
Actions #2

Updated by Carsten Rose 6 months ago

  • Related to Feature #14320: Allow specific HTML Tags and Attributes: general, TinyMCE added
Actions

Also available in: Atom PDF