Paramètre GET non nettoyés dans certaines vues de la K-Fêt #255
Labels
No labels
devtype -- backend
devtype -- docs
devtype -- frontend
devtype -- user interface
difficulty -- easy
difficulty -- hard
difficulty -- normal
Doing
domain -- bda
domain -- bds
domain -- cof
domain -- core
domain -- kfet
Good first issue
priority -- high
priority -- low
priority -- medium
priority -- staff-wanted
status -- development
status -- discussion
status -- need review
status -- production
status -- ready to merge
status -- todo
To Do
type -- bug
type -- hygiene
type -- improvement
type -- new feature
bug
duplicate
enhancement
help wanted
invalid
question
wontfix
No milestone
No project
No assignees
1 participant
Notifications
Due date
No due date set.
Dependencies
No dependencies set.
Reference: DGNum/gestioCOF#255
Loading…
Reference in a new issue
No description provided.
Delete branch "%!s()"
Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?
Dans le vue
history_json
notamment on utilise les paramètres GET directement sans les "nettoyer". Ça permet à n'importe quel utilisateur connecté de déclencher des erreurs 500.Note: ces valeurs passent par l'ORM Django avant d'atteindre la bdd donc j'ai l'impression que ça ne pose pas de problème de sécurité. À gérer rapidement quand même.
Je pense que ça bonne façon de faire ça est de donner
request.GET
à un formulaire django ad-hoc qui fera le nettoyage pour nous.mentioned in merge request !411
mentioned in merge request !355
mentioned in merge request !461
mentioned in merge request !462
mentioned in commit
57901c0013
closed via merge request !462