開発日記/2004-06-28 の編集

[[開発日記]]

* cvs修正 -- [[henoheno]] [#v8754d43]

for Both
- [[BugTrack/586]] - edit_form() に XSS 脆弱性 (の反省から、入力チェックをさらに追加)
-- [[cvs:init.php]] (v1.4:1.78, v1.3:1.20.2.19) 'cmd=' prohibits nasty 'plugin='
--- 'cmd=' パラメータに値が渡されているとき、もし 'plugin=' に対しても入力があるならば、plugin= に対する入力を暗黙に無視します。
--- この二つのパラメータの働きは似ていますが、排他的に利用される事が今まで暗黙に期待されており、かつシステムとしては cmd を優先すべきであるのにそれが実現しえない状況であったため、これを明確に実装しました。((入力チェックを普通に実装しているだけなので、大げさに %%言う%% 説明することもないのですけどね・・・))

http://example.com/wiki/?cmd=edit&plugin=nasty&page=FooBar

--- cmdと組み合わせてさらに何らかの追加効果を与えようというニーズがある場合、それはpluginではなく、filterなどといったパラメータ名称で別途実現すべきだと思います。そもそも cmd= が必要なのか、といった話もあると思いますけれど。

http://example.com/wiki/?cmd=read&filter=printable&page=FooBar (read only)
    http://example.com/wiki/?cmd=read&filter=bodyonly&page=FooBar (read only)
    http://example.com/wiki/?cmd=edit&filter=hikiedit&page=FooBar (read/write)

for 1.3
- [[BugTrack/588]]: is_page()内のキャッシュを廃止 (して高速化)
-- [[cvs:file.php]] (v1.3:1.3.2.6-1.3.2.7)
-- [[cvs:pukiwiki.php]] (v1.3:1.16.2.10)
-- [[cvs:plugin/includesubmenu.inc.php]] (v1.3:1.1.2.2)
-- 1.3でも追随しました。

タイムスタンプを変更しない

[[開発日記]]

* cvs修正 -- [[henoheno]] [#v8754d43]

http://example.com/wiki/?cmd=edit&plugin=nasty&page=FooBar

テキスト整形のルールを表示する