Problèmes fonctionnels #148

HTML non échappé dans l'affichage des paramètres (Administration/Outils/paramètres)

Ajouté par Jean-François FALCONNIER il y a environ un an.

Statut:Proposé Début:11/01/2017
Priorité:Urgent Echéance:
Assigné à:- % Réalisé:

0%

Catégorie:-
Version cible:-

Description

Il est nécessaire d'échapper les caractères HTML lors de la construction de la page pour éviter leur interprétation par le navigateur. Les balises <link> <style> <images> ne doivent en aucun cas être incluses telles quelles à cet endroit là. La météo par exemple est activée par le paramètre show_meteo, mais sans échappement, l'image est appelée lorsque l'on consulte les paramètres quelque soit ce réglage.

admin/param/param_func.inc.php, ligne 124

print "<td class='ligne_data'>$param->valeur_param</td><td valign='top'>$param->comment_param</td>\n</tr>";

devrait être:

print "<td class='ligne_data'>".htmlspecialchars($param->valeur_param)."</td><td valign='top'>".htmlspecialchars($param->comment_param)."</td>\n</tr>";

Formats disponibles: Atom PDF