php · symfony/ux-autocompleteAtenção
symfony/ux-autocomplete: EntitySearchUtil agora escapa curingas LIKE em consultas de usuário
EntitySearchUtil agora escapa curingas LIKE (% e _) e barras invertidas em consultas fornecidas pelo usuário, e adiciona uma cláusula ESCAPE explícita à express
O que mudou
EntitySearchUtil agora escapa curingas LIKE (% e _) e barras invertidas em consultas fornecidas pelo usuário, e adiciona uma cláusula ESCAPE explícita à expressão LIKE.
Quem isso afeta
Aplicações que usam symfony/ux-autocomplete com entidades Doctrine que possuem searchable_fields e o endpoint de autocomplete acessível publicamente (padrão).
O que fazer hoje
Atualize symfony/ux-autocomplete para a versão corrigida mais recente (2.x ou 3.x) para evitar que usuários não autenticados explorem curingas LIKE para corresponder a linhas não intencionais ou realizar ataques de oracle booleano cego.
A esteira
Coletado→
Auditado→
Redigido→
Publicado