BugTrack/52
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
検索
|
最終更新
|
ヘルプ
|
ログイン
]
開始行:
*img.inc.phpで指定されるファイル名のチェックがされていな...
-ページ: BugTrack
-投稿者: [[reimy]]
-優先順位: 重要
-状態: 完了
-カテゴリー: プラグイン
-投稿日: 2002-06-30 (日) 23:14:01
-バージョン:
**メッセージ [#g8e967a9]
-指定されたファイル名のチェックがされていない
--gif、jpg、jpeg、pngに限定すべき、aviなど動画はいらんで...
--ファイル名に使えない文字がないかのチェック→XSS脆弱性の...
----
-が~ん。そんなのが残っていたのか。。。hackだhack!! -- [[...
-。。。ってか、URLエンコードすべき所をHTMLエンコードして...
-URLはファイル名云々とは関係ない話なので、文字種検査して...
-% ; ) ( +などはそのまま通すみたいです。 -- [[reimy]] SIZ...
-URLエンコードしてませんからね。それらの文字がURLに入って...
-あ~でも、思った通りのURLが渡せないのは問題だなぁ~ -- [...
-とりあえず、画像以外が貼られるのを防ぐための暫定処置 -- ...
<?
// $id$
function plugin_img_convert()
{
if(func_num_args()!=2) {
return;
}
$aryargs = func_get_args();
$url = $aryargs[0];
$align = strtoupper($aryargs[1]);
if($align == 'R' || $align == 'RIGHT') {
$align = 'right';
}
elseif($align == 'L' || $align == 'LEFT') {
$align = 'left';
}
else {
return "<br style=\"clear:both\">";
}
if(preg_match("/^http:\/\/(\S+?)(\.jpg|\.jpeg|\....
return "<div style=\"float:$align;padding:.5em 1.5em .5...
}
?>
-上記変更でPukiWiki添付ファイルの直リンク -- [[たらこせる...
-ってどうなるんでしょうか。今後は使わないほうが、よい? -...
-http:\/\/(\S+?)(\.jpg|\.jpeg|\.gif|\.png)$/siを見る限り...
-でも.swfって<img>では見えなくないです? -- [[ゆう]] SIZ...
-''はっ''...そうですね。すいません...。 -- [[たらこせる]]...
-いちおう、PukiWiki本体でURL直書きしたときも画像は上記の...
-[[cvs:plugin/img.inc.php]] アップしました。 -- [[ゆう]] ...
-とりあえずこの対策でいいですかね? -- [[ゆう]] SIZE(1):2...
-1.3.2にアップしてみたところ、添付ファイルへのリンクが通...
-1.3.2でもちゃんと添付ファイルにリンクされてますよ。おそ...
-新規にイメージファイルをアップしてリンクを用意しなおした...
-▼下のようなカンジで1.3までは使っていたのです。やはり表示...
-リンクって、もしかして添付ファイルを#imgで表示するという...
-ああ、ありがとうございます。ただ#refだと回り込み、き...
-こうなると携帯端末からの転送は「本日の一枚」に頼るのがい...
-回り込みさせるのは簡単だから、改造して#ref2を作るのが手...
-ということで、添付ファイルの画像を回り込み付きで表示する...
-使い方は#ref2(ファイル名,R)または#ref2(ファイル名,L)。第...
-深夜にご苦労様です。まだ数少ないんでコピペ一括置換します...
-僕はWikiディレクトリを直接sedで置換してます。 -- [[ゆう]...
-無事2稼動しました、が、ファイル名はhttp://~からのもので...
-わたしもgrepでチェックしてsedで一括置換だなあ。とても手...
-今朝はユーザー定義を:hogehoge:から&hogehoge;に変更したの...
-''あああっ''そのユーザー定義変更、かなり重要な感じ...s...
-正規表現マスターしないと...話題変わってますね、すいませ...
-preg_matchにJPG、PNG、GIFなども加えておくとよい...
---img.inc.phpと同じように/(\.gif|\.png|\.jpeg|\.jpg)$/を...
-uploadされたときのメディアタイプを使うという手もあります...
-メディアタイプなんて自己申告なんだから、いくらでもごまか...
-<img>で括られてしまう中でどのような穴になりうるんでしょ...
-[[しろくろのへや:ref.inc.php]]で#refプラグインがバージョ...
//#comment
終了行:
*img.inc.phpで指定されるファイル名のチェックがされていな...
-ページ: BugTrack
-投稿者: [[reimy]]
-優先順位: 重要
-状態: 完了
-カテゴリー: プラグイン
-投稿日: 2002-06-30 (日) 23:14:01
-バージョン:
**メッセージ [#g8e967a9]
-指定されたファイル名のチェックがされていない
--gif、jpg、jpeg、pngに限定すべき、aviなど動画はいらんで...
--ファイル名に使えない文字がないかのチェック→XSS脆弱性の...
----
-が~ん。そんなのが残っていたのか。。。hackだhack!! -- [[...
-。。。ってか、URLエンコードすべき所をHTMLエンコードして...
-URLはファイル名云々とは関係ない話なので、文字種検査して...
-% ; ) ( +などはそのまま通すみたいです。 -- [[reimy]] SIZ...
-URLエンコードしてませんからね。それらの文字がURLに入って...
-あ~でも、思った通りのURLが渡せないのは問題だなぁ~ -- [...
-とりあえず、画像以外が貼られるのを防ぐための暫定処置 -- ...
<?
// $id$
function plugin_img_convert()
{
if(func_num_args()!=2) {
return;
}
$aryargs = func_get_args();
$url = $aryargs[0];
$align = strtoupper($aryargs[1]);
if($align == 'R' || $align == 'RIGHT') {
$align = 'right';
}
elseif($align == 'L' || $align == 'LEFT') {
$align = 'left';
}
else {
return "<br style=\"clear:both\">";
}
if(preg_match("/^http:\/\/(\S+?)(\.jpg|\.jpeg|\....
return "<div style=\"float:$align;padding:.5em 1.5em .5...
}
?>
-上記変更でPukiWiki添付ファイルの直リンク -- [[たらこせる...
-ってどうなるんでしょうか。今後は使わないほうが、よい? -...
-http:\/\/(\S+?)(\.jpg|\.jpeg|\.gif|\.png)$/siを見る限り...
-でも.swfって<img>では見えなくないです? -- [[ゆう]] SIZ...
-''はっ''...そうですね。すいません...。 -- [[たらこせる]]...
-いちおう、PukiWiki本体でURL直書きしたときも画像は上記の...
-[[cvs:plugin/img.inc.php]] アップしました。 -- [[ゆう]] ...
-とりあえずこの対策でいいですかね? -- [[ゆう]] SIZE(1):2...
-1.3.2にアップしてみたところ、添付ファイルへのリンクが通...
-1.3.2でもちゃんと添付ファイルにリンクされてますよ。おそ...
-新規にイメージファイルをアップしてリンクを用意しなおした...
-▼下のようなカンジで1.3までは使っていたのです。やはり表示...
-リンクって、もしかして添付ファイルを#imgで表示するという...
-ああ、ありがとうございます。ただ#refだと回り込み、き...
-こうなると携帯端末からの転送は「本日の一枚」に頼るのがい...
-回り込みさせるのは簡単だから、改造して#ref2を作るのが手...
-ということで、添付ファイルの画像を回り込み付きで表示する...
-使い方は#ref2(ファイル名,R)または#ref2(ファイル名,L)。第...
-深夜にご苦労様です。まだ数少ないんでコピペ一括置換します...
-僕はWikiディレクトリを直接sedで置換してます。 -- [[ゆう]...
-無事2稼動しました、が、ファイル名はhttp://~からのもので...
-わたしもgrepでチェックしてsedで一括置換だなあ。とても手...
-今朝はユーザー定義を:hogehoge:から&hogehoge;に変更したの...
-''あああっ''そのユーザー定義変更、かなり重要な感じ...s...
-正規表現マスターしないと...話題変わってますね、すいませ...
-preg_matchにJPG、PNG、GIFなども加えておくとよい...
---img.inc.phpと同じように/(\.gif|\.png|\.jpeg|\.jpg)$/を...
-uploadされたときのメディアタイプを使うという手もあります...
-メディアタイプなんて自己申告なんだから、いくらでもごまか...
-<img>で括られてしまう中でどのような穴になりうるんでしょ...
-[[しろくろのへや:ref.inc.php]]で#refプラグインがバージョ...
//#comment
ページ名:
![[PukiWiki]](image/pukiwiki-dev.png "[PukiWiki]")
