webinterface.git

Im Passwort dürfen auch keine bösen Zeichen sein
Parent 88386ee
bernd

bernd commited on 2007-06-16 14:24:24
Zeige 2 geänderte Dateien mit 7 Einfügungen und 2 Löschungen. 

git-svn-id: https://svn.schokokeks.org/repos/tools/webinterface/trunk@502 87cf0b9e-d624-0410-a070-f6ee81989793
inc/security.php
Zeige Datei @ 0dae127
... ... 
@@ -12,6 +12,11 @@ function filter_input_username( $input )
12 12 
         return ereg_replace("[^[:alnum:]\_\.\+\-]", "", $input );
13 13 
 }
14 14
15 
+function filter_quotes( $input )
16 
+{
17 
+        return ereg_replace('["\'`]', '', $input );
18 
+}
19 
+
15 20
16 21
17 22 
 ?>
modules/jabber/include/jabberaccounts.php
Zeige Datei @ 0dae127
... ... 
@@ -46,7 +46,7 @@ function create_jabber_account($local, $domain, $password)
46 46
47 47 
   $local = mysql_real_escape_string( filter_input_username($local) );
48 48 
   $domain = (int) $domain;
49 
-  $password = mysql_real_escape_string($password);
49 
+  $password = mysql_real_escape_string( filter_quotes( $password ) );
50 50
51 51 
   if ($domain > 0)
52 52 
   {
... ... 
@@ -85,7 +85,7 @@ function change_jabber_password($id, $newpass)
85 85 
   require_role(ROLE_CUSTOMER);
86 86 
   $customerno = (int) $_SESSION['customerinfo']['customerno'];
87 87 
   $id = (int) $id;
88 
-  $newpass = mysql_real_escape_string($newpass);
88 
+  $newpass = mysql_real_escape_string( filter_quotes( $newpass ) );
89 89
90 90 
   $query = "UPDATE jabber.accounts SET password='{$newpass}' WHERE customerno={$customerno} AND id={$id} LIMIT 1";
91 91 
   DEBUG($query);
92 92