2008年9月24日

[mew-dist 28628] Re:msg-id:に変な文字があるときsmewがエラー終了

Message-Id: <20080917.200812.189619399.tomoyuki@xxxxx>
Date: Wed, 17 Sep 2008 20:08:12 +0900 (JST)
From: Tomoyuki Murakami <tomoyuki@xxxxx>
Subject: [mew-dist 28625] Re: msg-id:に変な文字があるときsmewがエ..

| hide> message-id: <20080813122201t'5_5b@xxxxx>
| hide> というように「'」を含んでいるメイルがあり
| hide> (こんな文字が入っていていいのかは別にして)

| hide> SQL injectionになっていました。
:
| cmewの方ではplace-holder '?' を使った書き方になっている一方でsmew
| はSQL直書きになっていて今一コードに統一感がないなと思いました。
| cmewの方の書き方をすればxxquoteしなくても適切に処理されると思いま
| す。(試してません)

select_by_id()は
db.execute("SELECT * FROM mew WHERE (mew.id = ?);", id) do |ent|
と書いて動いたのですが、
select_by_parid()の方は
条件をORでつないでからexecuteするコードになっているので
'?'をつかえませんでした。revision 1.2のころのコードならいけるんですが。
#rev 1.3のコードを提案したのは私です..

--
KOIE Hidetaka <hide@xxxxx>


投稿者 xml-rpc : 2008年9月24日 13:26
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/77519
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。