[Résolu] bug tres etrange sur l’adresse du cheque

[Rémy - @webdesignrr]

lorsque je renseigne l'adresse du module cheque, je constate un truc etrange que je n'arrive a reproduire qu'avec un mot (mais peut-etre il en existe d'autre) :

 

si je met le mot "reunion" dans l'adresse, le champ n'est pas actualisé !!!

(manque de bol ce mot est present dans mon adresse)

 

attention, il semble etre actualisé, apres la validation il apparait bien dans le champ, mais si je reviens sur le sommaire module et que je reclic sur configuré, la mise a jour n'est pas visible

 

etrange non ? ça vous fait la meme chose a vous ?

[Bruno Leveque]

Bonsoir,

 

Hum, à première vue (cela demande vérification), ceci pourrait être du au mot clé "UNION", fréquemment utilisé dans les tentatives de pirtage par injection SQL (ça vous parle ?).

 

Cependant, les requêtes ne devraient êtres bloquées que lorsque ce mot-clé est utilisé seul... nous allons vérifier cela.

 

Cordialement,

Bruno Lévêque

[Matthieu Biart]

Bonjour yumiam,

 

Je confirme cela vient bien du fait que pour des raisons de securite le mot clef "UNION" est blackliste. Et c'est notre verification des requetes qui est un peu trop stricte et ne laisse meme pas passer les mots contenant "UNION" par exmple.

On va corriger ca.

On vous tient au courant.

[hairvay]

Bonjour, je déterre un peu ce post pour vous demander si une solution a été trouvée.

 

J'ai exactement le même cas de figure que précédement cité.

 

Le backoffice ne prend aucune modification lors de l'insertion du mot "réunion".

 

Je comprends tout à fait l'argument sécurité mis en avant pour éviter les injections sql mais dans mon cas, "réunion" est dans le nom de domaine  ;D

Embêtant, n'est ce pas !

 

J'ai fouillé à droite et à gauche mais aucune trace de la blacklist que matthieu mentionne. Pouvez-vous me donner un coup de main ?

 

Version utilisée : 0.9.7 en production.

 

merci d'avance !

[Philippe]

Je ne sais pas si une solution a été trouvée pour ce problème mais j'ai suggéré dans un autre post une façon de le contourner en remplaçant tout simplement la lettre "o" par le chiffre "0".

 

Réuni0n à la place de Réunion, ce n'est pas forcément idéal, mais ça permet de ne pas resté bloqué sur un "détail".