Bug in class.properties.php
Verfasst: So 27. Sep 2009, 20:00
Wahrscheinlich seit dem Sicherheitsfix vom 30.6.2008 gibt es folgendes Problem, wenn man etwas mit den Properties abspeichert: Sonderzeichen bekommt man escaped zurück.
Das liegt daran, dass die zu speichernden Werte in /contenido/classes/class.properties.php vor dem Abspeichern escaped werden:
function create, Zeile 125 und function setValue, Zeile 239.
Das Problem ist, dass sie nach dem Auslesen nicht (richtig) wieder unescaped werden:
in function getValuesByType, Zeile 212 gibt es zwar ein urldecode, das passt aber nicht zum Contenido_Security::escapeDB, mit dem die values ursprünglich escaped wurden.
in function getValue fehlt das unescapen ganz.
Beides führt dazu, dass man beispielsweise keine html-Schnipsel mehr abspeichern kann.
Die Korrektur ist einfach:
Zeile 212: ersetzen durch und in Zeile 178 ersetzen durch .
Ich hoffe, das wird in der nächsten Version korrigiert.
Das liegt daran, dass die zu speichernden Werte in /contenido/classes/class.properties.php vor dem Abspeichern escaped werden:
function create, Zeile 125 und function setValue, Zeile 239.
Das Problem ist, dass sie nach dem Auslesen nicht (richtig) wieder unescaped werden:
in function getValuesByType, Zeile 212 gibt es zwar ein urldecode, das passt aber nicht zum Contenido_Security::escapeDB, mit dem die values ursprünglich escaped wurden.
in function getValue fehlt das unescapen ganz.
Beides führt dazu, dass man beispielsweise keine html-Schnipsel mehr abspeichern kann.
Die Korrektur ist einfach:
Zeile 212:
Code: Alles auswählen
$aResult[$item->get("name")] = urldecode($item->get("value"));Code: Alles auswählen
$aResult[$item->get("name")] = Contenido_Security::unescapeDB($item->get("value"));Code: Alles auswählen
return ($item->get("value"));Code: Alles auswählen
return Contenido_Security::unescapeDB(($item->get("value")));Ich hoffe, das wird in der nächsten Version korrigiert.