tomoac Re: Re: 機能拡張フォームのconcrete5-5.4.2への対応について 2011年9月13日 at 18:07 ツイートする 2.4.2をリリースしました。 修正を間違えていたようですね。失礼しました。 XSS対策は、controls.php の285-298, 354-358 に、htmlspecialcahr()を追加しました。 メールで対策要望がありました。 返信 acliss Re: Re: Re: 機能拡張フォームのconcrete5-5.4.2への対応について 2011年9月13日 at 18:10 具体的にどのような入力があったときにXSSが発生したのか教えていただけませんか? 返信 tomoac Re: Re: Re: Re: 機能拡張フォームのconcrete5-5.4.2への対応について 2011年9月13日 at 18:17 XSSというより、" を入力したらおかしくなるとの指摘です。 タグの間に、value="" が、value=""" になって、表示がおかしくなることが確認できましたので、 返信 acliss Re: 機能拡張フォームのconcrete5-5.4.2への対応について 2011年9月13日 at 23:34 ""ですか・・・・。チェック漏れてました。 phpコードやjavascriptはチェックしたのですが、すみません。 コードに関してですが標準のフォームブロックは view側でstripslashes(htmlspecialchars($val))で処理してます。 エラーメッセージがでる設定ですが標準に合わす形で処理されてはどうでしょうか? 返信 tomoac Re: Re: 機能拡張フォームのconcrete5-5.4.2への対応について 2011年9月14日 at 8:58 エラーチェックは、もともとcontrollerのあの付近にあったので、追加する形で今に至っています。 viewで処理するということは、エラーチェックを全部viewに移すということでしょうか? 返信 acliss Re: Re: Re: 機能拡張フォームのconcrete5-5.4.2への対応について 2011年9月18日 at 15:37 標準のフォームブロックでは特殊文字はエラー処理ではなく、エスケープ処理しています。ですのでエスケープしたほうがいいと思ったのですがそれも問題があることが分かりましたので撤回します。すみません。 返信 返信 Your post has been saved and will be published after approval by the forum moderator. - Enter a Subject - Enter a Message ※ 10分以上、ポップアップを開いたままだと、セッションが切れて投稿できない場合があります。その場合はメッセージをどこかにコピーし、ページ&投稿画面をリロードし投稿し直してください。 件名 メッセージ 画像中の文字と数字を入力してください。 Captchaをクリックすると違う文字候補が出てきます。
acliss
Re: Re: Re: 機能拡張フォームのconcrete5-5.4.2への対応について