チェンジセット 87
- コミット日時:
- 2009/01/11 02:04:50 (15 年前)
- ファイル:
-
- trunk/doc/CHANGES.txt (更新) (1 diff)
- trunk/install/php/foltialib.php (更新) (5 diffs)
凡例:
- 変更無し
- 追加
- 削除
- 更新
- コピー
- 移動
trunk/doc/CHANGES.txt
r86 r87 1 1 foltia 更新履歴 http://www.dcc-jpl.com/soft/foltia/ 2 2 3 09.1.11 4 foltialib.php: 5 escape_string()とhtmlspecialchars()をまともに使えてなかった箇所を修正。 6 SQLインジェクションの可能性があった箇所を修正。 3 7 4 8 09.1.10 trunk/install/php/foltialib.php
r84 r87 19 19 if ($_GET["{$key}"] != "") { 20 20 $value = $_GET["{$key}"]; 21 22 21 $value = escape_string($value); 22 $value = htmlspecialchars($value); 23 23 return ($value); 24 24 } … … 28 28 if ($_GET["{$key}"] != "") { 29 29 $value = $_GET["{$key}"]; 30 escape_string($value);31 htmlspecialchars($value);32 30 $value = ereg_replace("[^-0-9]", "", $value); 33 31 $value = escape_numeric($value); … … 38 36 //フォームデコード 39 37 function getform($key) { 40 // global $where;41 38 if ($_POST["{$key}"] != "") { 42 39 $value = $_POST["{$key}"]; 43 44 40 $value = escape_string($value); 41 $value = htmlspecialchars($value); 45 42 return ($value); 46 43 } … … 50 47 if ($_POST["{$key}"] != "") { 51 48 $value = $_POST["{$key}"]; 52 53 54 49 $value = escape_string($value); 50 $value = htmlspecialchars($value); 51 $value = ereg_replace("[^0-9]", "", $value); 55 52 $value = escape_numeric($value); 56 53 return ($value); … … 106 103 107 104 /* SQL 文字列のエスケープ */ 108 function escape_string($sql, $quote = TRUE) {105 function escape_string($sql, $quote = FALSE) { 109 106 if ($quote && strlen($sql) == 0) { 110 107 return "null";
