24.01.2018
  • Betrifft Modul
  •  
  • Meldezeitpunkt
  • Dienstag, 14.01.2014 19:08
  • Letzte Änderung
  • Freitag, 01.01.2016 14:54
  • Status
  • Behoben
  • Text
  • in den textfeldern zum editieren von links oder namen wird & durch & ersetzt.
    Auffallen tut der bug am besten in dem admin modul (mod-konfig) wenn man die links editiert.

    Wenn man & nicht durch & ersetzt hat das zur folge dass die links nach dem 2ten mal editieren nicht mehr funktionieren.

    der bug laesst sich in der ./inc/classes/class_display.php beheben, indem man die funktion htmlescape deaktiviert.


    function AddTextFieldRow($name, $key, $value, $errortext, $size = NULL, $optional = NULL, $not_changeable = NULL, $maxlength = NULL) {
    ($errortext)? $errortext = $this->errortext_prefix . $errortext . $this->errortext_suffix : $errortext = '';
    ($optional)? $optional = "_optional" : $optional = '';
    ($not_changeable)? $not_changeable = ' readonly="readonly"' : $not_changeable = '';
    if ($maxlength) $maxlength = ' maxlength="'. $maxlength .'"';
    if ($size == '') $size = '30';
    //$value = htmlspecialchars($value, ENT_COMPAT, 'UTF-8');

    $value = '<input type="text" id="'. $name .'" name="'. $name .'" class="form'. $optional .'" size="'. $size .'"'. $not_changeable .' value="'. $value .'"'. $maxlength .' />'. $errortext;
    $key = '<label for="'. $name .'">'. $key .'</label>';
    $this->AddDoubleRow($key, $value);
    }

Kommentare
     
    the
    14.01.2014 19:39
    htmlspecialchars() wird an dieser stelle schon seine existenzberechtigung haben. es gehört vermutlich an der richtigen stelle "htmlspecialchars_decode()" aufgerufen.

    Ist nur eine Vermutung. ich habe mir den code nicht genauer angesehen

    Bald feiert Haag-networX 10 Jahre Schwachfug
    http://haag-networx.info/ls/index.php
    quote
    firefly
    15.01.2014 04:52
    dem daraus resultierenden source code sieht es so aus wie venn htmlspecialchars schon auf $value aufgerufen worden waere
    Bald feiert Haag-networX 10 Jahre Schwachfug :D

    Haag-networX
    quote
    KnoX
    17.01.2014 10:17
    Avatar
    Alles, was aus der DB ausgelesen wird, wird bereits durch $func->NoHTML() gejagt und damit htmlspecialchars(). Das gleiche gilt für alle GET und POST Parameter.

    Da, $value hier eigentlich immer aus der DB, oder aus GET/POST kommt, ist es doppelt und kann raus.

    http://www.orgapage.de - Infoseite für LanParty-Orgas
    [Equipmentliste | Strom-/Netzplanung | Intranetsysteme | Game- und Dienste-Servertipps]
    quote
    MaLuZ
    01.01.2016 14:54
    Fix im Commit https://github.com/M4LuZ/lansuite/commit/b3faa406ac6f47de01a22ce239f1e46d6dff7d86 quote
    4 Einträge
    • Hinweis:
      Bitte loggen dich ein, bevor du einen Kommentar verfasst
    • Hinweis:
      Es wurden keine Einträge gefunden