Sefrengo v1.6.1 |
Willkommen, Gast ( Anmelden | Registrierung ) [ Hilfe | Mitglieder | Suche ]
Sefrengo v1.6.1 |
Sun. 4. January 2015, 15:32
Beitrag
#1
|
|
Advanced Member Gruppe: Admins Beiträge: 507 Mitglied seit: 27.06.2006 Mitglieds-Nr.: 11 |
Sefrengo v1.6.1
Dokumente Die Installation - Sefrengo auf einem Webserver oder einer lokalen Trainigsumgebung installieren Update einer Sefrengo Installation - Ein ausführlicher Updateleitfaden FAQ - Installation Die erste Sefrengo Seite, Schritt für Schritt - Anfängertutorial Beim Update beachten
Changelog - Änderungen v1.6.1 zu v1.6.0 QUELLTEXT See full changelog at <https://github.com/sefrengo-cms/sefrengo-1.x/commits/v1.6.1> * FIXED: Check numeric variables to prevent SQL injections * FIXED: Converted searchterm to HTML entities * FIXED: Updated CKEditor to v4.4.6 * ADDED: Added HTML5 doctype to select in edit layout (thanks to dederpapst3000)
Angehängte Datei(en)
|
|
|
Tue. 13. January 2015, 07:28
Beitrag
#2
|
|
Sefrengo Reloaded Gruppe: Members Beiträge: 62 Mitglied seit: 14.06.2012 Wohnort: Gransee Mitglieds-Nr.: 2.487 |
wenn eine zahl erwartet wird, wäre es nicht besser, statt addslashes, intval zu benutzen?
QUELLTEXT // check numeric vars to prevent SQL injection errors
$numeric_vars = array('idclient','idlang','idbackendmenu','idcatlang','idcat','idcatside','iduser','idtpl','idtplconf','parent','rootparent','sortindex','idlay','author','visible','idside','is_start','idclientslang','idcode','idcontainer','idmod','idplug','idcontainerconf','idcontent','idsidelang','idtype','container','number','online','idcss','idcssupl','idupl','sid','iddirectory','parentid','idfiletype','idgroup','idjs','idlang','is_start','idlayupl','idperm','idrepository','idside','idtracker','user_id','idvalues','idval','u_g_id','value_id'); foreach($numeric_vars as $varname) { if(isset($$varname) && !(empty($$varname) || is_int($$varname))) { //die('ERROR! Found non-numeric variable which must be numeric! Execution was stopped, due to a possible SQL injection.'); $$varname = intval($$varname); } } Der Beitrag wurde von sidd bearbeitet: Tue. 13. January 2015, 07:32 -------------------- Sefrengo | Das CMS passend für viele Gelegenheiten ;)
|
|
|
Tue. 13. January 2015, 10:13
Beitrag
#3
|
|
Advanced Member Gruppe: Admins Beiträge: 507 Mitglied seit: 27.06.2006 Mitglieds-Nr.: 11 |
wenn eine zahl erwartet wird, wäre es nicht besser, statt addslashes, intval zu benutzen? Gute Idee! Das könnte allerdings zu unerwarteten Ergebnissen führen, da er evtl. einen falschen int value ausließt. Wenn ich mögliche Eingaben mit addslashes escape, dann findet die DB keinen Eintrag und bricht die Ausführung ab. |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 5.5.24 - 13:56 |