ob娱乐下载symfony 1.1.4发布:安全修复

根据我们的安全策略我们今天发布symfony 1.1.4，以修复今天ob娱乐下载早些时候由symfony用户报告的安全问题。这篇文章包含了对漏洞的描述，以及我们为修复它所做的更改的描述。受影响的symfony版本ob娱乐下载都是symfony 1.1发行版和1.2分支。

漏洞描述

验证子框架允许开发人员在错误消息中嵌入用户提交的值。如果在某些错误消息中使用提交的值，或者使用一些内置验证器提供的默认错误消息(请参阅下面的列表)，那么您就很容易受到攻击，因为symfony不会为您转义该值。ob娱乐下载

以下内置验证器会受到影响，因为它们将提交的值嵌入到一些默认错误消息中:

• sfValidatorDate
• sfValidatorFile
• sfValidatorInteger
• sfValidatorNumber
• sfValidatorString
• sfValidatorTime

决议

的ob娱乐下载symfony 1.1.4，我们已经改变了getArguments ()方法sfValidatorError类来转义错误消息。下面是这个方法的修改版本:

[php]公共函数getArguments($raw = false) {if ($raw){返回$this->参数;} $arguments =数组();Foreach ($this->参数为$key => $value) {if (is_array($value)){继续;} $arguments["%$key%"] = htmlspecialchars($value, ENT_QUOTES, sfValidatorBase::getCharset());}返回$arguments;｝

修复已应用于symfony 1.1 (ob娱乐下载变更集11932)及1.2 (变更集11933)的分支。您可以下载补丁ob娱乐下载symfony 1.1或ob娱乐下载symfony 1.2．

鼓励每个syob娱乐下载mfony用户尽快升级。