2008年9月17日

[mew-dist 28625] Re:msg-id:に変な文字があるときsmewがエラー終了


# SQLに詳しいわけではありませんが...

>>> On Wed, 17 Sep 2008 16:46:12 +0900 (JST),
>>> KOIE Hidetaka (鯉江英隆) <hide@xxxxx> wrote:

hide> message-id: <20080813122201t'5_5b@xxxxx>
hide> というように「'」を含んでいるメイルがあり

hide> (こんな文字が入っていていいのかは別にして)
hide> SQL injectionになっていました。
hide>
hide> パッチを書いてみましたが、これでよいのか自信はありません。
hide> SQLにくわしい人おねがいします。

cmewの方ではplace-holder '?' を使った書き方になっている一方でsmew
はSQL直書きになっていて今一コードに統一感がないなと思いました。
cmewの方の書き方をすればxxquoteしなくても適切に処理されると思いま
す。(試してません)

投稿者 xml-rpc : 2008年9月17日 20:08
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/77296
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。