Escaping DB field's value

[edouard-gillet]

Hello Patrick,

I noticed that in the SOAP webservice for Moodle 1.8, the value inserted in the DB are not escaped. Having a ' in the value will create an error during the DB operation.

I think the escaping should be done in the webservice, prior to the DB calls.

I can change the source code to escape the values, and give it to you.

Thank you,

Edouard Gillet

[patrickpollet]

Le jeudi 01 mars 2012 20:54:47, vous avez écrit :

Hello Patrick,

I noticed that in the SOAP webservice for Moodle 1.8, the value inserted in the DB are not escaped. Having a ' in the value will create an error during the DB operation.

I think the escaping should be done in the webservice, prior to the DB calls.

I can change the source code to escape the values, and give it to you.

Thank you,

Edouard Gillet

---

Reply to this email directly or view it on GitHub:
#3

Bonjour,

Je réponds en francais car nous avons déja échangé dans cette langue ;-)


Je n'observe pas ce pb avec mes Moodle 1.9.16+ (dernier) ni Moodle 2.0 ; j'arrive a créer par exemple

des utilisateurs avec des apostrophes dans les noms, les villes avec le protocole SOAP ou REST...

Le problème est bien plus complexe que cela

1. avec Moodle 1.8 il FAUT que le paramétrage du php soit globalement, soit dans un .htaccess avec magic_quotes_gpc=on
   http://moodle.org/mod/forum/discuss.php?d=121549

2. idem avec Moodle 1.9 jusqu'à la révision 1.9.10 je crois

3. a partir de Moodle 1.9.11 le fichier lib/setuplib.php contient un hack que réalise automatiquement
   le 'magic quoting' si nécessaire ; dont voici le code ; ceci régle aussi le pb des quotes dans les paramètres
   envoyés par les clients SOAP

/// A hack to get around magic_quotes_gpc being turned off
/// It is strongly recommended to enable "magic_quotes_gpc"!
if (!ini_get_bool('magic_quotes_gpc') && !defined('MOODLE_SANE_INPUT') ) {
function addslashes_deep($value) {
$value = is_array($value) ?
array_map('addslashes_deep', $value) :
addslashes($value);
return $value;
}
$_POST = array_map('addslashes_deep', $_POST);
$_GET = array_map('addslashes_deep', $_GET);
$_COOKIE = array_map('addslashes_deep', $_COOKIE);
$_REQUEST = array_map('addslashes_deep', $_REQUEST);
if (!empty($_SERVER['REQUEST_URI'])) {
$_SERVER['REQUEST_URI'] = addslashes($_SERVER['REQUEST_URI']);
}
if (!empty($_SERVER['QUERY_STRING'])) {
$_SERVER['QUERY_STRING'] = addslashes($_SERVER['QUERY_STRING']);
}
if (!empty($_SERVER['HTTP_REFERER'])) {
$_SERVER['HTTP_REFERER'] = addslashes($_SERVER['HTTP_REFERER']);
}
if (!empty($_SERVER['PATH_INFO'])) {
$_SERVER['PATH_INFO'] = addslashes($_SERVER['PATH_INFO']);
}
if (!empty($_SERVER['PHP_SELF'])) {
$_SERVER['PHP_SELF'] = addslashes($_SERVER['PHP_SELF']);
}
if (!empty($_SERVER['PATH_TRANSLATED'])) {
$_SERVER['PATH_TRANSLATED'] = addslashes($_SERVER['PATH_TRANSLATED']);
}
}

4. a partir de Moodle 2.x, on ne doit plus jamais utiliser addslashes/stripslashes dans son code car ils sont fait en interne

Or comme le code de OkTech WS est strictement le même selon la version de Moodle, je ne tiens pas à le 'polluer'
avec des tests de version de Moodle pour gérer cela

Je vous recommande donc de faire activer le magic_quotes_gpc par vos clients si ils sont toujours en Moodle 1.8
ou de les faire migrer en Moodle 1.9.16, ce qui ne pourrait nuire pour des raisons de sécurité

Bonne journée.

Edit : avez-vous ajouté à OK Tech des opérations qui mériteraient d'être mises à la dispo de la communauté ?

Patrick POLLET
Responsable du Centre Informatique du Premier Cycle
Responsable technique Moodle auprès de la DSI

INSA de Lyon tel 04 72 43 83 80 fax 04 72 43 85 33

Chaque génération se croit vouée à refaire le monde.
La mienne sait pourtant qu'elle ne le refera pas.
Mais sa tâche est peut-être plus grande.
Elle consiste à empêcher qu'il ne se défasse. (A.Camus, Discours de Suéde 1957)