Paramètre GET non nettoyés dans certaines vues de la K-Fêt #255

Closed
opened 2019-12-26 12:25:54 +01:00 by mpepin · 6 comments
mpepin commented 2019-12-26 12:25:54 +01:00 (Migrated from git.eleves.ens.fr)

Dans le vue history_json notamment on utilise les paramètres GET directement sans les "nettoyer". Ça permet à n'importe quel utilisateur connecté de déclencher des erreurs 500.

Note: ces valeurs passent par l'ORM Django avant d'atteindre la bdd donc j'ai l'impression que ça ne pose pas de problème de sécurité. À gérer rapidement quand même.

Je pense que ça bonne façon de faire ça est de donner request.GET à un formulaire django ad-hoc qui fera le nettoyage pour nous.

Dans le vue `history_json` notamment on utilise les paramètres GET directement sans les "nettoyer". Ça permet à n'importe quel utilisateur connecté de déclencher des erreurs 500. **Note:** ces valeurs passent par l'ORM Django avant d'atteindre la bdd donc j'ai *l'impression* que ça ne pose pas de problème de sécurité. À gérer rapidement quand même. Je pense que ça bonne façon de faire ça est de donner `request.GET` à un formulaire django ad-hoc qui fera le nettoyage pour nous.
mpepin commented 2020-05-07 18:33:33 +02:00 (Migrated from git.eleves.ens.fr)

mentioned in merge request !411

mentioned in merge request !411
mpepin commented 2020-05-11 17:40:04 +02:00 (Migrated from git.eleves.ens.fr)

mentioned in merge request !355

mentioned in merge request !355
lstephan commented 2020-09-15 20:36:33 +02:00 (Migrated from git.eleves.ens.fr)

mentioned in merge request !461

mentioned in merge request !461
lstephan commented 2020-09-16 17:24:33 +02:00 (Migrated from git.eleves.ens.fr)

mentioned in merge request !462

mentioned in merge request !462
mpepin commented 2020-09-22 21:06:49 +02:00 (Migrated from git.eleves.ens.fr)

mentioned in commit 57901c0013

mentioned in commit 57901c00138bebdd3d7275a7f058fdf40b9da875
mpepin commented 2020-09-22 21:06:50 +02:00 (Migrated from git.eleves.ens.fr)

closed via merge request !462

closed via merge request !462
Sign in to join this conversation.
No milestone
No project
No assignees
1 participant
Notifications
Due date
The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference: DGNum/gestioCOF#255
No description provided.