Membres de cette conversation

Catégories

Raccourcis clavier

Assistance de TMDB

AssistanceAssistance de l'API

JR

SECURITY ISSUE!

posté par Joe Rose
STAFFMOD
le 8 juin 2015 à 21h29

Travis;

This just tripped a SECURITY ALERT in my app during a movie scrape!

Record: 313022 Trailer Path: Path: http://www.youtube.com/watch?v=

Html code in a database record??? Not good.

Please comment.

Joe

3 réponses (sur la page 1 sur 1)

Jump to last post

JR

Réponse de  Joe Rose

STAFFMOD

le 8 juin 2015 à 21h32

Travis;

Sure enough! It executed in this post!

Travis Bell

Réponse de  Travis Bell

STAFFMOD

le 8 juin 2015 à 23h29

Hi Joe,

I don't believe there's any sanitization on the video field. I've created a new ticket for this here. It's very much related to ticket #887, so I'll do them both at the same time.

LordMike

Réponse de  LordMike

STAFFMOD

le 15 juin 2015 à 17h04

Uh .. just for the record. It is perfectly fine to have HTML or any other form of "code" or "markup" in the database. In fact - it should stay in that format.

It is YOUR job as a consumer to sanitize/encode values when presenting them, because only YOU know which format they should go in. (As an example, for HTML, there are different encodings depending on if you want some text in the body, attributes, javascript or css).

Mike

Un film, une émission télévisée ou un artiste est introuvable ? Connectez-vous afin de créer une nouvelle fiche.

Connexion

Créer un compte

Général

s Mettre le curseur dans la barre de recherche
p Ouvrir le menu du profil
esc Fermer une fenêtre ouverte
? Ouvrir la fenêtre des raccourcis clavier

Sur les pages des médias

b Retour (ou vers le parent si faisable)
e Afficher la page de modification

Sur les pages des saisons des émissions télévisées

Afficher la saison suivante (flèche droite)
Afficher la saison précédente (flèche gauche)

Sur les pages des épisodes des émissions télévisées

Afficher l'épisode suivant (flèche droite)
Afficher l'épisode précédent (flèche gauche)

Sur toutes les pages des images / photos

a Ouvrir la fenêtre d'ajout d'image / photo

Sur toutes les pages de modifications

t Ouvrir le sélecteur de traduction
ctrl+ s Envoyer le formulaire

Sur les pages des discussions

n Créer une nouvelle discussion
w Basculer le statut de suivi
p Basculer publique / privée
c Basculer fermer / ouvrir
a Ouvrir l'activité
r Répondre à la discussion
l Afficher la dernière réponse
ctrl+ enter Envoyer votre message
Page suivante (flèche droite)
Page précédente (flèche gauche)

Paramètres

Vous souhaitez évaluer ou ajouter cet élément à une liste ?

Connexion

Pas encore membre ?

S'inscrire et rejoindre la communauté