Project

General

Profile

Problèmes fonctionnels #148

HTML non échappé dans l'affichage des paramètres (Administration/Outils/paramètres)

Added by Jean-François FALCONNIER over 3 years ago.

Status:
Proposé
Priority:
Urgent
Assignee:
-
Category:
-
Target version:
-
Start date:
01/11/2017
Due date:
% Done:

0%

Estimated time:

Description

Il est nécessaire d'échapper les caractères HTML lors de la construction de la page pour éviter leur interprétation par le navigateur. Les balises <link> <style> <images> ne doivent en aucun cas être incluses telles quelles à cet endroit là. La météo par exemple est activée par le paramètre show_meteo, mais sans échappement, l'image est appelée lorsque l'on consulte les paramètres quelque soit ce réglage.

admin/param/param_func.inc.php, ligne 124

print "<td class='ligne_data'>$param->valeur_param</td><td valign='top'>$param->comment_param</td>\n</tr>";

devrait être:

print "<td class='ligne_data'>".htmlspecialchars($param->valeur_param)."</td><td valign='top'>".htmlspecialchars($param->comment_param)."</td>\n</tr>";

Also available in: Atom PDF