Masao Takaku
masao****@ulis*****
2003年 3月 2日 (日) 15:06:09 JST
Forkたかくと申します。
> $vars を見るタイプのプラグインもチェックした方がよさそうですね。
これですが、いくつかあるようなので、まずは簡単に判明した分のみ報告します。
まず、1.4系のみで起きる現象について報告します。
(1.3 系には問題はありません)
plugin, cmd の引数をそのまま出力している個所があります。
以下のような修正で直ると思います。
Index: pukiwiki.php
===================================================================
RCS file: /cvsroot/pukiwiki/pukiwiki/pukiwiki.php,v
retrieving revision 1.20
diff -u -b -r1.20 pukiwiki.php
--- pukiwiki.php 20 Feb 2003 12:34:56 -0000 1.20
+++ pukiwiki.php 2 Mar 2003 05:56:22 -0000
@@ -62,7 +62,7 @@
// Plug-in action
if (!empty($vars['plugin'])) {
if (!exist_plugin_action($vars['plugin'])) {
- $msg = "plugin={$vars['plugin']} is not implemented.";
+ $msg = "plugin=".htmlspecialchars($vars['plugin'])." is not implemented.";
$retvars = array('msg'=>$msg,'body'=>$msg);
}
else {
@@ -75,7 +75,7 @@
// Command action
else if (!empty($vars['cmd'])) {
if (!exist_plugin_action($vars['cmd'])) {
- $msg = "cmd={$vars['cmd']} is not implemented.";
+ $msg = "cmd=".htmlspecialchars($vars['cmd'])." is not implemented.";
$retvars = array('msg'=>$msg,'body'=>$msg);
}
else {
--
高久 雅生 // mailto:masao****@ulis*****