Skip to content
Extraits de code Groupes Projets
Valider d5d7e78f rédigé par cerdic's avatar cerdic
Parcourir les fichiers

r5629 a introduit un echappement du contenu des log pour eviter toute... 

r5629 a introduit un echappement du contenu des log pour eviter toute injection de code executable dans les logs.
r10325 a restreint cet echappement a spip.log uniquement, rendant les logs annexes vulnerables a des injections
On retablit l'echappement généralisé, car ces logs annexes peuvent etre aussi vecteur d'injection de code, mais on introduit une constante _LOG_BRUT permettant de desactiver l'échappement en configuration de test/debug.
parent 552936a6
Aucune branche associée trouvée
Aucune étiquette associée trouvée
Aucune requête de fusion associée trouvée
Masquer les modifications d'espaces
En ligne Côte à côte
Affichage de
avec 1 ajout et 1 suppression
ecrire/inc/log.php
+ 1
1
Voir le fichier @ d5d7e78f
......@@ -57,7 +57,7 @@ function inc_log_dist($message, $logname=NULL, $logdir=NULL, $logsuf=NULL) {
$f = @fopen($logfile, "ab");
if ($f) {
fputs($f, ($logname!==NULL) ? $m : str_replace('<','&lt;',$m));
fputs($f, (defined('_LOG_BRUT') AND _LOG_BRUT) ? $m : str_replace('<','&lt;',$m));
fclose($f);
}
......
0% ou .
You are about to add 0 people to the discussion. Proceed with caution.
Terminez d'abord l'édition de ce message.
Veuillez vous inscrire ou vous pour commenter

Forge communautaire SPIP | Charte d'utilisationSignaler un problème sur ce site