hamada
bungu****@leo*****
2007年 8月 31日 (金) 16:41:45 JST
こんにちわ。 On 31 Aug 2007 15:03:51 +0900 <human_1969****@excit*****> wrote: > STSv4_4/.../includes/functions/html_output.php のなかに > osCommerce 2.2 MS1JR8の落ちていた部分を記述したら直りました。 作業が逆かと。 たとえば STSv4_4/STSv4.4J/catalog/includes/application_top.php を見ると、 > $model_query = tep_db_query("select products_model from " . TABLE_PRODUCTS . " where products_id = '" . $HTTP_GET_VARS['products_id'] . "'"); ↑こんな古いコードがそのまま残ってます。 これだとSQLインジェクション脆弱性を抱え込んでしまいますので、出来るだけ R8のファイルをベースに、STSの修正を盛り込まれるべきだと思います。 > モジュールを入れる場合は要注意であることを再認識しました。 古いコードの残留にも注意してください。コードの意味を理解出来てないと、非 常に危険かもしれません。 はまだ
