Event-Beschreibung wird nicht escaped = SQL-Error beim Insert

3
Bug #
Priorität2 (🔸 Hoch)
BereichEvents
TitleEvent-Beschreibung wird nicht escaped = SQL-Error beim Insert
BeschreibungBeim Erfassen von neuen Events wird (minimum) die Beschreibung nicht korrekt escaped, sprich wenn man ein Hochkomma in der Beschreibung verwendet, schlägt der SQL-Insert fehl - UND DIES KÖNNTE FÜR KLASSISCHE SQL-INJECTIONS VERWENDET WERDEN! ;)

Siehe Fehlermeldung hier: Events Insert SQL-Error
Reported by @
 
Git Commitcbc2955
Assigned to @ 27.12.2017 13:40
StatusResolved @ 3
zorg.ch
#114173 by @ 09.07.2014 16:59 - nach oben -
Habs mal kurz ausprobiert... wird nicht ganz einfach, weil die Einträge vor dem Ausgeben auch wieder decodiert werden müssen, und mit der Verzahnung zum Smarty geht das nicht so einfach (die entsprechende Smarty-Funktion/Plugin ist in unserer Version z.B. auch nicht enthalten).

Da müssen wir nochmals über die Bücher wg. einer gescheiten Lösung :(
zorg.ch
#114174 by @ 09.07.2014 18:17 - nach oben -
test
zorg.ch
#114364 by @ 27.12.2017 14:38 - nach oben -

Fixed mit Commit #cbc2955