開発日記
for Both
- BugTrack/586 - edit_form() に XSS 脆弱性 (の反省から、入力チェックをさらに追加)
- cvs:init.php (v1.4:1.78, v1.3:1.20.2.19) 'cmd=' prohibits nasty 'plugin='
- 'cmd=' パラメータに値が渡されているとき、もし 'plugin=' に対しても入力があるならば、plugin= に対する入力を暗黙に無視します。
- この二つのパラメータの働きは似ていますが、排他的に利用される事が今まで暗黙に期待されており、かつシステムとしては cmd を優先すべきであるのにそれが実現しえない状況であったため、これを明確に実装しました。*1
http://example.com/wiki/?cmd=edit&plugin=nasty&page=FooBar
- cmdと組み合わせてさらに何らかの追加効果を与えようというニーズがある場合、それはpluginではなく、filterなどといったパラメータ名称で別途実現すべきだと思います。そもそも cmd= が必要なのか、といった話もあると思いますけれど。
http://example.com/wiki/?cmd=read&filter=printable&page=FooBar (read only)
http://example.com/wiki/?cmd=read&filter=bodyonly&page=FooBar (read only)
http://example.com/wiki/?cmd=edit&filter=hikiedit&page=FooBar (read/write)
for 1.3