Changeset 81334 in spip-zone


Ignore:
Timestamp:
Mar 13, 2014, 12:01:46 PM (5 years ago)
Author:
cedric@…
Message:

v 1.1.9 : on est plus radical avec les tentatives d'injection par connect : aucune chance que ce soit une demande licite, on bloque donc le hit, cela evite de generer des cache compiles foireux

File:
1 edited

Legend:

Unmodified
Added
Removed
  • _core_/securite/ecran_securite.php

    r75105 r81334  
    66 */
    77
    8 define('_ECRAN_SECURITE', '1.1.8'); // 2013-08-29
     8define('_ECRAN_SECURITE', '1.1.9'); // 2014-03-13
    99
    1010/*
     
    255255        // cas qui permettent de sortir d'un commentaire PHP
    256256        (strpos($_REQUEST['connect'], "?")!==false
     257         OR strpos($_REQUEST['connect'], "<")!==false
    257258         OR strpos($_REQUEST['connect'], ">")!==false
    258259         OR strpos($_REQUEST['connect'], "\n")!==false
    259260         OR strpos($_REQUEST['connect'], "\r")!==false)
    260261        ) {
    261         $_REQUEST['connect'] = str_replace(array("?", ">", "\r", "\n"), "", $_REQUEST['connect']);
    262         if (isset($_GET['connect'])) $_GET['connect'] = $_REQUEST['connect'];
    263         if (isset($_POST['connect'])) $_POST['connect'] = $_REQUEST['connect'];
     262        $ecran_securite_raison = "malformed connect argument";
    264263}
    265264
Note: See TracChangeset for help on using the changeset viewer.