安井 博隆
info****@neko-*****
2007年 6月 11日 (月) 11:57:44 JST
はまださま
サニタイズ忘れについての投稿ありがとうございます!
当方もadditional_images_MS2_jを利用させていただいておりましたので、
助かりました!ありがとうございます。
ところでひとつ稚拙な質問で恐縮ですが、質問させてください。
現在osCommerceMS1のR7を使用しているのですが、いろいろカスタマイズしてい
る為、R8にそのままバージョンアップというわけにはいきませんでした。
その為、R7とR8を見比べ、差分を自身のosCommerceに適用して利用しています。
そこで今回のサニタイズ忘れのような記述が他にないか、
tep_db_query.*HTTP_GET_VARS
にて検索し、各行を調べていっているのですが、tep_db_queryと$HTTP_GET_VARS
が含まれる行で、$HTTP_GET_VARSの前に(int)が含まれていない行が、何箇所か
見つかるのです。
※下記のような行です。
index.php
if (isset($HTTP_GET_VARS['manufacturers_id'])) {
$image = tep_db_query("select manufacturers_image from " . TABLE_MANUFACTURERS . " where manufacturers_id = '" . $HTTP_GET_VARS['manufacturers_id'] . "'");
これはサニタイズ忘れになるのでしょうか?
とても恥ずかしい質問ですが、このような条件のものすべてに、
(int)を付加しようと考えております。(素人考え)
(int)をつけることによって、逆に弊害など起こることはあるのでしょうか?
大変恐縮ですが、ご理解の範囲で教えていただけると幸いです。
安井