Index: /trunk/doc/CHANGES.txt
===================================================================
--- /trunk/doc/CHANGES.txt (リビジョン 86)
+++ /trunk/doc/CHANGES.txt (リビジョン 87)
@@ -1,4 +1,8 @@
 foltia 更新履歴 http://www.dcc-jpl.com/soft/foltia/
 
+09.1.11
+foltialib.php:
+escape_string()とhtmlspecialchars()をまともに使えてなかった箇所を修正。
+SQLインジェクションの可能性があった箇所を修正。
 
 09.1.10
Index: /trunk/install/php/foltialib.php
===================================================================
--- /trunk/install/php/foltialib.php (リビジョン 84)
+++ /trunk/install/php/foltialib.php (リビジョン 87)
@@ -19,6 +19,6 @@
     if ($_GET["{$key}"] != "") {
 		$value = $_GET["{$key}"];
-                   escape_string($value);
-                   htmlspecialchars($value);
+        $value = escape_string($value);
+        $value = htmlspecialchars($value);
 	return ($value);
     }
@@ -28,6 +28,4 @@
     if ($_GET["{$key}"] != "") {
 		$value = $_GET["{$key}"];
-		escape_string($value);
-		htmlspecialchars($value);
 		$value = ereg_replace("[^-0-9]", "", $value);
 		$value = escape_numeric($value);
@@ -38,9 +36,8 @@
 	//フォームデコード
 	  function getform($key) {
-			//    global $where;
     if ($_POST["{$key}"] != "") {
 		$value = $_POST["{$key}"];
-                   escape_string($value);
-                   htmlspecialchars($value);
+        $value = escape_string($value);
+        $value = htmlspecialchars($value);
 	return ($value);
     }
@@ -50,7 +47,7 @@
     if ($_POST["{$key}"] != "") {
 		$value = $_POST["{$key}"];
-                   escape_string($value);
-                   htmlspecialchars($value);
-                   $value = ereg_replace("[^0-9]", "", $value);
+		$value = escape_string($value);
+        $value = htmlspecialchars($value);
+        $value = ereg_replace("[^0-9]", "", $value);
 		$value = escape_numeric($value);
 	return ($value);
@@ -106,5 +103,5 @@
 	
 	/* SQL 文字列のエスケープ */
-	function escape_string($sql, $quote = TRUE) {
+	function escape_string($sql, $quote = FALSE) {
 		if ($quote && strlen($sql) == 0) {
 			return "null";