le mot FROM dans une variable postée pour un UPDATE

Version imprimable

02/04/2008, 18h03
tiptep

le mot FROM dans une variable postée pour un UPDATE

Bonjour,

c'est un site d'annonces immobilieres Anglais, donc le contenu des variables textuelles est en Anglais :lol: ... je précise que la requête ci dessous fonctionne parfaitement si le contenu du champs commentaire ne contient pas le mot FROM mais si le mot FROM est posté dans le champ commentaire j'ai une erreur 500

Code:

mysql_query("UPDATE biens SET commentaire='$commentaire' WHERE id_bien='1' ",$db);

Voici l'erreur :

Code:

... mod_security: Access denied with code 500. Pattern match "select.+from" at POST_PAYLOAD [severity "EMERGENCY"] ...

NB : j'ai essayé d'échapper le champ avec mysql_real_escape_string() , mais le probleme est entier.

Merci de vos lumières :(
02/04/2008, 18h25
guidav

Ca vient de ton mod_security : cherche dans la configuration du côté de ARG_NAMES, et dans l'aide http://www.modsecurity.org/documenta...reference.html
02/04/2008, 19h18
tiptep

RESOLU
Citation:

Envoyé par guidav

Ca vient de ton mod_security : cherche dans la configuration du côté de ARG_NAMES, et dans l'aide http://www.modsecurity.org/documenta...reference.html

effectivement, Merci 1000 fois :yaisse2:

je pense que ma solution n'est quand même pas très propre ni logique puisque j'ai maintenant désactivé une sécurité (il doit y a avoir une manière de coder positivement pour éviter le déclenchement du mod_security quand le mot "from" est saisi dans un champs texte et inséré dans une BdD ... j'imagine tous ces sites Anglais quand même ... 8O ... en tout cas : guidav je ne dirai plus qu'un mot -> :merci:

soluce pour moi :
Code:

1 2 3 4 - dans /etc/modsecurity - j'ai édité exclude.conf - j'ai commenté la ligne : SecFilter "select.+from"