Discussion :

[tiptep]

Bonjour,

c'est un site d'annonces immobilieres Anglais, donc le contenu des variables textuelles est en Anglais ... je précise que la requête ci dessous fonctionne parfaitement si le contenu du champs commentaire ne contient pas le mot FROM mais si le mot FROM est posté dans le champ commentaire j'ai une erreur 500

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

mysql_query("UPDATE biens SET commentaire='$commentaire' WHERE id_bien='1' ",$db);

Voici l'erreur :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

... mod_security: Access denied with code 500. Pattern match "select.+from" at POST_PAYLOAD [severity "EMERGENCY"] ...

NB : j'ai essayé d'échapper le champ avec mysql_real_escape_string() , mais le probleme est entier.

Merci de vos lumières

[guidav]

Ca vient de ton mod_security : cherche dans la configuration du côté de ARG_NAMES, et dans l'aide http://www.modsecurity.org/documenta...reference.html

[tiptep]

Ca vient de ton mod_security : cherche dans la configuration du côté de ARG_NAMES, et dans l'aide http://www.modsecurity.org/documenta...reference.html

effectivement, Merci 1000 fois

je pense que ma solution n'est quand même pas très propre ni logique puisque j'ai maintenant désactivé une sécurité (il doit y a avoir une manière de coder positivement pour éviter le déclenchement du mod_security quand le mot "from" est saisi dans un champs texte et inséré dans une BdD ... j'imagine tous ces sites Anglais quand même ... ... en tout cas : guidav je ne dirai plus qu'un mot ->

soluce pour moi :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
- dans /etc/modsecurity
- j'ai édité exclude.conf
- j'ai commenté la ligne : SecFilter "select.+from"