Opened 15 years ago

Closed 15 years ago

Last modified 15 years ago

#77 closed probleme (fixed)

Nouveau fichier accepté alors qu'aucun fichier n'est indiqué

Reported by: youp3 Owned by: fabien
Priority: bloquant Milestone: 2.2
Component: e2t Version:
Keywords: Cc:

Description

Le ticket #72 m'a fait découvrir un autre bug !

Si on uploade pas de fichier et qu'on ne met pas de lien vers un fichier externe, si les autres champs obligatoires sont bien remplis, et bien le formulaire est accepté et du coup on ajoute un fichier "vide" dans le système.

Change History (11)

comment:1 Changed 15 years ago by fabien

Je l'ai fait sur ma copie local mais la ligne 306 du fichier class_e2t_post.php me remet l'objet objpost_errors? à vide. D'ailleurs, le message 'pirate' ne devrait donc jamais s'affichait. Heureusement qu'il y a une deuxième vérification sinon la faille était toujours là...
Prsonnellement, je pense que un recodage (sans copier/coller de Matt :p) serait à faire.

comment:2 Changed 15 years ago by prolag

tien c'est vrai tu viens de me faire penser peut etre a une nouvelle faille...

Pour le recodage je suis pas contre... mais pour la 2.3 ou 3.0... (avec une gestion des multi fichiers par sujet :p)

comment:3 Changed 15 years ago by fabien

Maintenant ça marche mais il me traite de pirate tout le temps en upload... :(

comment:4 Changed 15 years ago by fabien

  • Owner changed from somebody to fabien

comment:5 Changed 15 years ago by fabien

  • Status changed from new to assigned

Hmm... dans la requête il y a "AND uid='{$this->ipsclass->inputuid?}'" or $this->ipsclass->inputuid? est null donc aucun résultat pour la requête.
Mais alors, on peut toujours réussir à pirater ?!?!?!

comment:6 Changed 15 years ago by prolag

Euh ce n'est pas normal... Tu a bien uid dans le skin ? si tu ne l'a pas .. c'est normal qui dit que tu es un pirate...

comment:7 Changed 15 years ago by fabien

Zut, j'ai oublié le xml des templates dans ma révision :'( Arf, la fatigue !

comment:8 Changed 15 years ago by fabien

  • Resolution set to fixed
  • Status changed from assigned to closed

J'ai perdu tout mes cheveux mais j'ai tout corrigé !!! Il faudrait bien re-tester l'ajout/modification dans tous les sens :)
Et en cadeau, pour les liens externes il y a maintenant une vérification que l'extension de fichier est autorisé.
Prolag, regarde mon commentaire à la ligne 214-215 du fichier class_e2t_post.php

Changement livré dans la révision 229 et 230

comment:9 Changed 15 years ago by prolag

Ouai j'ai vu ton commentaire On peux remplace par un simple if

Je vais tester pour voir

comment:10 Changed 15 years ago by prolag

Bon je viens de tester et pas reussi a cracker le bordel :p et je viens de penser... maintenant on a le chemin du fichier dans la base de donnée... on a meme plus besoin de l'acheter et de verifier le champs.. il suffit qu'on se base sur l'information dans la base de donnée ;) Beaucoup plus simple et eviter les problemes de hack (On modifie ca pour la 2.3 :p)

comment:11 Changed 15 years ago by prolag

(j'ai juste testé l'upload pas les liens externe)

Note: See TracTickets for help on using tickets.