[[開発日記]]
* cvs修正 -- [[henoheno]] [#v8754d43]
for Both
- [[BugTrack/586]] - edit_form() に XSS 脆弱性 (の反省から、入力チェックをさらに追加)
-- [[cvs:init.php]] (v1.4:1.78, v1.3:1.20.2.19) 'cmd=' prohibits nasty 'plugin='
--- 'cmd=' パラメータに値が渡されているとき、もし 'plugin=' に対しても入力があるならば、plugin= に対する入力を暗黙に無視します。
--- この二つのパラメータの働きは似ていますが、排他的に利用される事が今まで暗黙に期待されており、かつシステムとしては cmd を優先すべきであるのにそれが実現しえない状況であったため、これを明確に定義しました。((入力チェックを普通に実装しているだけなので、大げさに %%言う%% 説明することもないのですけどね・・・))
--- この二つのパラメータの働きは似ていますが、排他的に利用される事が今まで暗黙に期待されており、かつシステムとしては cmd を優先すべきであるのにそれが実現しえない状況であったため、これを明確に実装しました。((入力チェックを普通に実装しているだけなので、大げさに %%言う%% 説明することもないのですけどね・・・))
http://example.com/wiki/?cmd=edit&plugin=nasty&page=FooBar
--- cmdと組み合わせてさらに何らかの追加効果を与えようというニーズがある場合、それはpluginではなく、filterなどといったパラメータ名称で別途実現すべきだと思います。そもそも cmd= が必要なのか、といった話もあると思いますけれど。
http://example.com/wiki/?cmd=read&filter=printable&page=FooBar (read only)
http://example.com/wiki/?cmd=read&filter=bodyonly&page=FooBar (read only)
http://example.com/wiki/?cmd=edit&filter=hikiedit&page=FooBar (read/write)
for 1.3
- [[BugTrack/588]]: is_page()内のキャッシュを廃止 (して高速化)
-- [[cvs:file.php]] (v1.3:1.3.2.6-1.3.2.7)
-- [[cvs:pukiwiki.php]] (v1.3:1.16.2.10)
-- [[cvs:plugin/includesubmenu.inc.php]] (v1.3:1.1.2.2)
-- 1.3でも追随しました。
![[PukiWiki]](image/pukiwiki-dev.png "[PukiWiki]")
