- 追加された行はこの色です。
- 削除された行はこの色です。
*refプラグインで外部cgi等を呼び出し可能 [#s7d2c605]
-ページ: [[BugTrack2]]
-投稿者: [[にぶんのに]]
-優先順位: 低
-状態: 提案
-カテゴリー: 本体バグ
-投稿日: 2005-05-18 (水) 02:13:48
-バージョン: 1.4.5
**メッセージ [#rff466d9]
refプラグインではいたずら防止のため、画像以外は指定されたURIを呼び出さないよう、チェックが設けられています。
~しかしこのチェックはURIの末尾のみで判定を行うため、不十分です。具体的には hogehoge.cgi?param1=fuga¶m2=…&e=.png のようにダミーの条件を末尾に付け加える事でチェックはすり抜けてしまいます。
~しかしこのチェックはURIの末尾のみで判定を行うため、不十分であると思われます。
具体的には hogehoge.cgi?param1=fuga¶m2=…&e=.png のようにダミーの条件を末尾に付け加える事でチェックはすり抜けてしまいます。
影響範囲はrefプラグインおよびmake_link.phpの2箇所。対処方法としては次のように ? を弾く必要が考えられるかと思います。
影響範囲はrefプラグインおよびmake_link.phpの2箇所。対処方法としては次のように ? を弾く方法が考えられるかと思います。
-define('PLUGIN_REF_IMAGE', '/\.(gif|png|jpe?g)$/i');
+define('PLUGIN_REF_IMAGE', '/^[^?]*\.(gif|png|jpe?g)$/i');
※この問題は[[org:欲しいプラグイン/51]]から発掘しました。
----
#comment
![[PukiWiki]](image/pukiwiki-dev.png "[PukiWiki]")
