開発日記/2004-06-28 - PukiWiki-dev

[ トップ ] [ 編集 | 凍結 | 差分 | 履歴 | 添付 | リロード ] [ 新規 | 一覧 | 検索 | 最終更新 | ヘルプ | ログイン ]

cvs修正 -- henoheno †

for Both

BugTrack/586 - edit_form() に XSS 脆弱性 (の反省から、入力チェックをさらに追加)
- cvs:init.php (v1.4:1.78, v1.3:1.20.2.19) 'cmd=' prohibits nasty 'plugin='
  - 'cmd=' パラメータに値が渡されているとき、もし 'plugin=' に対しても入力があるならば、plugin= に対する入力を暗黙に無視します。
  - この二つのパラメータの働きは似ていますが、排他的に利用される事が今まで暗黙に期待されており、かつシステムとしては cmd を優先すべきであるのにそれが実現しえない状況であったため、これを明確に実装しました。*1

   http://example.com/wiki/?cmd=edit&plugin=nasty&page=FooBar

cmdと組み合わせてさらに何らかの追加効果を与えようというニーズがある場合、それはpluginではなく、filterなどといったパラメータ名称で別途実現すべきだと思います。そもそも cmd= が必要なのか、といった話もあると思いますけれど。

   http://example.com/wiki/?cmd=read&filter=printable&page=FooBar (read only)
   http://example.com/wiki/?cmd=read&filter=bodyonly&page=FooBar (read only)
   http://example.com/wiki/?cmd=edit&filter=hikiedit&page=FooBar (read/write)

for 1.3

BugTrack/588: is_page()内のキャッシュを廃止 (して高速化)
- cvs:file.php (v1.3:1.3.2.6-1.3.2.7)
- cvs:pukiwiki.php (v1.3:1.16.2.10)
- cvs:plugin/includesubmenu.inc.php (v1.3:1.1.2.2)
- 1.3でも追随しました。

https://pukiwiki.sourceforge.io/dev/

total:
today:
yesterday:
now: 1

https://pukiwiki.sourceforge.io/

最新の16件

2024-04-03

BugTrack/2589

2024-03-16

雑談

2024-01-25

EUC-JP to UTF-8

2023-12-27

2023-11-30

コメント/開発談義

2023-11-25

2023-11-24

2023-11-23

BugTrack/585

2023-11-20

2023-11-19

Migration/SourceForge.net

*1 入力チェックを普通に実装しているだけなので、大げさに言う説明することもないのですけどね・・・

Last-modified: 2004-06-28 (月) 22:58:01

Site admin: PukiWiki Development Team

PukiWiki 1.5.4+ © 2001-2022 PukiWiki Development Team. Powered by PHP 8.2.12. HTML convert time: 0.626 sec.