開発日記

cvs修正 -- henoheno

for Both

  • BugTrack/586 - edit_form() に XSS 脆弱性 (の反省から、入力チェックをさらに追加)
    • cvs:init.php (v1.4:1.78, v1.3:1.20.2.19) 'cmd=' prohibits nasty 'plugin='
      • 'cmd=' パラメータに値が渡されているとき、もし 'plugin=' に対しても入力があるならば、plugin= に対する入力を暗黙に無視します。
      • この二つのパラメータの働きは似ていますが、排他的に利用される事が今まで暗黙に期待されており、かつシステムとしては cmd を優先すべきであるのにそれが実現しえない状況であったため、これを明確に実装しました。*1
   http://example.com/wiki/?cmd=edit&plugin=nasty&page=FooBar
  • cmdと組み合わせてさらに何らかの追加効果を与えようというニーズがある場合、それはpluginではなく、filterなどといったパラメータ名称で別途実現すべきだと思います。そもそも cmd= が必要なのか、といった話もあると思いますけれど。
   http://example.com/wiki/?cmd=read&filter=printable&page=FooBar (read only)
   http://example.com/wiki/?cmd=read&filter=bodyonly&page=FooBar (read only)
   http://example.com/wiki/?cmd=edit&filter=hikiedit&page=FooBar (read/write)

for 1.3


*1 入力チェックを普通に実装しているだけなので、大げさに 言う 説明することもないのですけどね・・・

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2004-06-28 (月) 22:58:01
Site admin: PukiWiki Development Team

PukiWiki 1.5.2+ © 2001-2019 PukiWiki Development Team. Powered by PHP 5.6.40-0+deb8u7. HTML convert time: 0.170 sec.

OSDN