DGNum/gestioCOF
13
2
Fork 1
Code Issues 77 Pull requests 14 Packages Projects Releases 12 Wiki Activity

Paramètre GET non nettoyés dans certaines vues de la K-Fêt #255

New issue
Closed
opened 2019-12-26 12:25:54 +01:00 by mpepin · 6 comments
mpepin commented 2019-12-26 12:25:54 +01:00 (Migrated from git.eleves.ens.fr)
Copy link

Dans le vue history_json notamment on utilise les paramètres GET directement sans les "nettoyer". Ça permet à n'importe quel utilisateur connecté de déclencher des erreurs 500.

Note: ces valeurs passent par l'ORM Django avant d'atteindre la bdd donc j'ai l'impression que ça ne pose pas de problème de sécurité. À gérer rapidement quand même.

Je pense que ça bonne façon de faire ça est de donner request.GET à un formulaire django ad-hoc qui fera le nettoyage pour nous.

Dans le vue `history_json` notamment on utilise les paramètres GET directement sans les "nettoyer". Ça permet à n'importe quel utilisateur connecté de déclencher des erreurs 500. **Note:** ces valeurs passent par l'ORM Django avant d'atteindre la bdd donc j'ai *l'impression* que ça ne pose pas de problème de sécurité. À gérer rapidement quand même. Je pense que ça bonne façon de faire ça est de donner `request.GET` à un formulaire django ad-hoc qui fera le nettoyage pour nous.
mpepin commented 2020-05-07 18:33:33 +02:00 (Migrated from git.eleves.ens.fr)
Copy link

mentioned in merge request !411

mentioned in merge request !411
mpepin commented 2020-05-11 17:40:04 +02:00 (Migrated from git.eleves.ens.fr)
Copy link

mentioned in merge request !355

mentioned in merge request !355
lstephan commented 2020-09-15 20:36:33 +02:00 (Migrated from git.eleves.ens.fr)
Copy link

mentioned in merge request !461

mentioned in merge request !461
lstephan commented 2020-09-16 17:24:33 +02:00 (Migrated from git.eleves.ens.fr)
Copy link

mentioned in merge request !462

mentioned in merge request !462
mpepin commented 2020-09-22 21:06:49 +02:00 (Migrated from git.eleves.ens.fr)
Copy link

mentioned in commit 57901c0013

mentioned in commit 57901c00138bebdd3d7275a7f058fdf40b9da875
mpepin commented 2020-09-22 21:06:50 +02:00 (Migrated from git.eleves.ens.fr)
Copy link

closed via merge request !462

closed via merge request !462
Sign in to join this conversation.
No Branch/Tag specified
Branches Tags
master
thubrecht/daphne
agroudiev/virement-tirage
Production
thubrecht/bds-tests
mdebray/ajout_recherche_petits_cours
luj/adhesions
tbastian/kfet-rgpd
kerl/negatifs_handle_smtp_errors
thubrecht/export-ventes
Aufinal/backbone_checkout
Aufinal/es6-js
kerl/clickable_links
thubrecht/pause-mail-auto
bclement/autocomplete-queryset
kerl/authens
kerl/sitecof_absolute_urls
Evarin/sitecof-rewrite-urls
kerl/factor_autocompletion_views
Aufinal/alcoolémie
kerl/bds_registration
kerl/bds_export
kerl/bds_home
journal-de-caisse
kerl/dumpkfet
fix-shared-session
Kerl/mail_error_handling
aureplop/kfet-auth
aureplop/kfet-auth_cms
aureplop/core-deploy_initial
aureplop/install-authens
qwann/k-fet/graphs
aureplop/hooks_fix-pre-commit
aureplop/kpsul_js_refactor
aureplop/restructuring
aureplop/js_basket
supportBDS
Kerl/supportBDS/registration
Manet/k-fet/fix/160
v0.11
v0.10
v0.9
v0.8
v0.7.2
v0.7.1
v0.7
v0.6
v0.5
v0.4.2
v0.4.1
v0.4
v0.3.3
v0.3.2
v0.3.1
v0.3
v0.1
Labels
Clear labels   
devtype -- backend

Au programme : du Python, du Django...

  
devtype -- docs

   
devtype -- frontend

   
devtype -- user interface

Au programme : templating, JS, CSS...

  
difficulty -- easy

   
difficulty -- hard

Difficile et/ou risqué

  
difficulty -- normal

   
Doing

   
domain -- bda

Concerne l'application BdA

  
domain -- bds

   
domain -- cof

Concerne l'application COF

  
domain -- core

Dépendances externes, CI, linting...

  
domain -- kfet

Concerne l'application K-Fêt

  
Good first issue

   
priority -- high

Urgent quoi

  
priority -- low

   
priority -- medium

   
priority -- staff-wanted

L'équipe dirigeante du domaine en question souhaite cette fonctionnalité.

  
status -- development

En cours de développement

  
status -- discussion

Avant de coder, c'est bien de discuter

  
status -- need review

En attente de code review

  
status -- production

L'ajout/la modification est présente en production

  
status -- ready to merge

Plus qu'à merger !

  
status -- todo

Le développement devrait bientôt commencer

  
To Do

   
type -- bug

Signalement ou correction de bug

  
type -- hygiene

Tout ce qui amène à du code plus propre et un repo mieux organisé.

  
type -- improvement

Ajout/Demande d'évolution mineure d'une fonctionnalité existante

  
type -- new feature

Ajout/Demande d'une nouvelle fonctionnalité

No labels
devtype -- backend
devtype -- docs
devtype -- frontend
devtype -- user interface
difficulty -- easy
difficulty -- hard
difficulty -- normal
Doing
domain -- bda
domain -- bds
domain -- cof
domain -- core
domain -- kfet
Good first issue
priority -- high
priority -- low
priority -- medium
priority -- staff-wanted
status -- development
status -- discussion
status -- need review
status -- production
status -- ready to merge
status -- todo
To Do
type -- bug
type -- hygiene
type -- improvement
type -- new feature
Milestone
Clear milestone
No items
No milestone
Projects
Clear projects
No items
No project
Assignees
Clear assignees
No assignees
1 participant
Notifications
Due date
The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference: DGNum/gestioCOF#255
No description provided.
Delete branch "%!s()"

Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?