Changeset 15053


Ignore:
Timestamp:
2007/07/17 21:48:24 (13 years ago)
Author:
adati
Message:

ヘッダインジェクション対策(POSTされるURLのチェックを行うようにした)

Location:
branches/rel
Files:
4 edited

Legend:

Unmodified
Added
Removed
  • branches/rel/data/class/SC_View.php

    r14488 r15053  
    4444        $this->_smarty->register_function("sfPrintEbisTag","sfPrintEbisTag"); 
    4545        $this->_smarty->register_function("sfPrintAffTag","sfPrintAffTag"); 
     46        $this->_smarty->register_function("sfIsHTTPS","sfIsHTTPS"); 
    4647        $this->_smarty->default_modifiers = array('script_escape'); 
    4748         
  • branches/rel/html/frontparts/login_check.php

    r15048 r15053  
    8181/* POST¤µ¤ì¤ëURL¤Î¥Á¥§¥Ã¥¯*/ 
    8282function lfIsValidURL() { 
    83     //$site_url  = sfIsHTTPS() ? SSL_URL : SITE_URL; 
     83    $site_url  = sfIsHTTPS() ? SSL_URL : SITE_URL; 
    8484    $check_url = trim($_POST['url']); 
    8585     
    8686    // ¥É¥á¥¤¥ó¥Á¥§¥Ã¥¯ 
    87     //$pattern = "|^$site_url|"; 
    88     //if (!preg_match($pattern, $check_url)) { 
    89     //    return false; 
    90     //} 
     87    $pattern = "|^$site_url|"; 
     88    if (!preg_match($pattern, $check_url)) { 
     89        return false; 
     90    } 
    9191 
    92     // ²þ¹Ô¥³¡¼¥É(CR¡¦LF)¥Á¥§¥Ã¥¯ 
    93     $pattern = '/\r|\n|%0D|%0A/'; 
     92    // ²þ¹Ô¥³¡¼¥É(CR¡¦LF)¡¦NULL¥Ð¥¤¥È¥Á¥§¥Ã¥¯ 
     93    $pattern = '/\r|\n|\0|%0D|%0A|%00/'; 
    9494    if (preg_match_all($pattern, $check_url, $matches)) { 
    9595        return false; 
  • branches/rel/html/install/user_data/include/bloc/login.tpl

    r12157 r15053  
    66<!--¢§¥í¥°¥¤¥ó¤³¤³¤«¤é--> 
    77<!--{if $smarty.post.url == ""}--> 
    8     <!--{assign var=url value="`$smarty.server.REQUEST_URI`"}--> 
     8    <!--{if sfIsHTTPS()}--> 
     9        <!--{assign var=url value="https://`$smarty.server.HTTP_HOST``$smarty.server.REQUEST_URI`"}--> 
     10    <!--else}--> 
     11        <!--{assign var=url value="http://`$smarty.server.HTTP_HOST``$smarty.server.REQUEST_URI`"}--> 
     12    <!--{/if}--> 
    913<!--{else}--> 
    1014    <!--{assign var=url value="`$smarty.post.url`"}--> 
  • branches/rel/html/install/user_data/templates/default1/include/bloc/login.tpl

    r12157 r15053  
    66<!--¢§¥í¥°¥¤¥ó¤³¤³¤«¤é--> 
    77<!--{if $smarty.post.url == ""}--> 
    8     <!--{assign var=url value="`$smarty.server.REQUEST_URI`"}--> 
     8    <!--{if sfIsHTTPS()}--> 
     9        <!--{assign var=url value="https://`$smarty.server.HTTP_HOST``$smarty.server.REQUEST_URI`"}--> 
     10    <!--else}--> 
     11        <!--{assign var=url value="http://`$smarty.server.HTTP_HOST``$smarty.server.REQUEST_URI`"}--> 
     12    <!--{/if}--> 
    913<!--{else}--> 
    1014    <!--{assign var=url value="`$smarty.post.url`"}--> 
Note: See TracChangeset for help on using the changeset viewer.