- 338 名前:V3 mailto:sage [2006/12/17(日) 14:12:00 ID:???]
- >>98の基地外さんのシングルクォートの件
●PUT,GETでユーザーから渡されるデータに関して
SQL文の処理が、下記のようになっていれば大丈夫。
tep_db_query("select・・・・ where *** = '" . tep_db_input($***) . "'");
tep_db_inputでシングルクォートなどの危険な特殊文字をエスケープ(無効化)してます。
もし、SQL文の処理で tep_db_inputを付けていないPUT,GETでユーザーから渡されるデータ
$*** があったらそこは危険な可能性が高いです。
【※注意】 tep_db_inputを付けていなくても該当場所より前のコードで、安全だと確認されていたり、
安全になるよう処理している場合がありますので、付けていないからといって必ずしも危険だとは限りません。
標準仕様は先ず、処理されてます。
ただ、自分で追加した Contributions は注意。
不安な場合、プログラム名と行番号を連絡です。情報無しに危険だと言っている人は
ショッピングカートのシェアウェア作家や、ASP業者です。
騒ぎにすることで、osCommerceを不当に評価を下げようとするFUD攻撃ですので
相手をしないように。
●osCommerce MS1 日本語版 R6a以降 であること
最新 2005-11-26 R7
悪質なテンプレート屋は、R5、R4〜をバグFixせずに販売してます。
購入の際は、最新の 2005-11-26 R7 であるかなど、要確認
|
 |
