Browse code

Weitere Prepared-Statement-Umstellungen

Bernd Wurst authored on02/02/2014 17:44:30
Showing3 changed files
... ...
@@ -60,7 +60,7 @@ function config($key, $localonly = false)
60 60
 
61 61
 function get_server_by_id($id) {
62 62
   $id = (int) $id;
63
-  $result = db_query("SELECT hostname FROM system.servers WHERE id='{$id}'");
63
+  $result = db_query("SELECT hostname FROM system.servers WHERE id=?", array($id));
64 64
   $ret = $result->fetch();
65 65
   return $ret['hostname'];
66 66
 }
... ...
@@ -58,7 +58,6 @@ Ihre E-Mail wird nicht weitergeleitet.',
58 58
 
59 59
 function get_vmail_id_by_emailaddr($emailaddr) 
60 60
 {
61
-  $emailaddr = db_escape_string( $emailaddr );
62 61
   $result = db_query("SELECT id FROM mail.v_vmail_accounts WHERE CONCAT(local, '@', domainname) = ?", array($emailaddr));
63 62
   $entry = $result->fetch();
64 63
   return (int) $entry['id'];
... ...
@@ -135,7 +134,6 @@ function get_vmail_domains()
135 134
 
136 135
 function find_account_id($accname)
137 136
 {
138
-  $accname = db_escape_string($accname);
139 137
   DEBUG($accname);
140 138
   $tmp = explode('@', $accname, 2);
141 139
   DEBUG($tmp);
... ...
@@ -492,7 +490,6 @@ function domain_has_vmail_accounts($domid)
492 490
 function change_domain($id, $type)
493 491
 {
494 492
   $id = (int) $id;
495
-  $type = db_escape_string($type);
496 493
   if (domain_has_vmail_accounts($id))
497 494
     system_failure("Sie müssen zuerst alle E-Mail-Konten mit dieser Domain löschen, bevor Sie die Webinterface-Verwaltung für diese Domain abschalten können.");
498 495
   
... ...
@@ -23,7 +23,7 @@ include("external/php-iban/php-iban.php");
23 23
 function my_invoices()
24 24
 {
25 25
   $c = (int) $_SESSION['customerinfo']['customerno'];
26
-  $result = db_query("SELECT id,datum,betrag,bezahlt,abbuchung,sepamandat FROM kundendaten.ausgestellte_rechnungen WHERE kunde={$c} ORDER BY id DESC");
26
+  $result = db_query("SELECT id,datum,betrag,bezahlt,abbuchung,sepamandat FROM kundendaten.ausgestellte_rechnungen WHERE kunde=? ORDER BY id DESC", array($c));
27 27
   $ret = array();
28 28
   while($line = $result->fetch())
29 29
   	array_push($ret, $line);
... ...
@@ -35,7 +35,7 @@ function get_pdf($id)
35 35
 {
36 36
   $c = (int) $_SESSION['customerinfo']['customerno'];
37 37
   $id = (int) $id;
38
-  $result = db_query("SELECT pdfdata FROM kundendaten.ausgestellte_rechnungen WHERE kunde={$c} AND id={$id}");
38
+  $result = db_query("SELECT pdfdata FROM kundendaten.ausgestellte_rechnungen WHERE kunde=:c AND id=:id",array(":c" => $c, ":id" => $id));
39 39
   if ($result->rowCount() == 0)
40 40
 	  system_failure('Ungültige Rechnungsnummer oder nicht eingeloggt');
41 41
   return $result->fetch(PDO::FETCH_OBJ)->pdfdata;
... ...
@@ -47,7 +47,7 @@ function invoice_details($id)
47 47
 {
48 48
   $c = (int) $_SESSION['customerinfo']['customerno'];
49 49
   $id = (int) $id;
50
-  $result = db_query("SELECT kunde,datum,betrag,bezahlt,abbuchung FROM kundendaten.ausgestellte_rechnungen WHERE kunde={$c} AND id={$id}");
50
+  $result = db_query("SELECT kunde,datum,betrag,bezahlt,abbuchung FROM kundendaten.ausgestellte_rechnungen WHERE kunde=:c AND id=:id",array(":c" => $c, ":id" => $id));
51 51
   if ($result->rowCount() == 0)
52 52
   	system_failure('Ungültige Rechnungsnummer oder nicht eingeloggt');
53 53
   return $result->fetch();
... ...
@@ -57,7 +57,7 @@ function invoice_items($id)
57 57
 {
58 58
   $c = (int) $_SESSION['customerinfo']['customerno'];
59 59
   $id = (int) $id;
60
-  $result = db_query("SELECT id, beschreibung, datum, enddatum, betrag, einheit, brutto, mwst, anzahl FROM kundendaten.rechnungsposten WHERE rechnungsnummer={$id} AND kunde={$c}");
60
+  $result = db_query("SELECT id, beschreibung, datum, enddatum, betrag, einheit, brutto, mwst, anzahl FROM kundendaten.rechnungsposten WHERE rechnungsnummer=:id AND kunde=:c",array(":c" => $c, ":id" => $id));
61 61
   if ($result->rowCount() == 0)
62 62
   	system_failure('Ungültige Rechnungsnummer oder nicht eingeloggt');
63 63
   $ret = array();
... ...
@@ -70,7 +70,7 @@ function invoice_items($id)
70 70
 function upcoming_items()
71 71
 {
72 72
   $c = (int) $_SESSION['customerinfo']['customerno'];
73
-  $result = db_query("SELECT anzahl, beschreibung, startdatum, enddatum, betrag, einheit, brutto, mwst FROM kundendaten.upcoming_items WHERE kunde={$c} ORDER BY startdatum ASC");
73
+  $result = db_query("SELECT anzahl, beschreibung, startdatum, enddatum, betrag, einheit, brutto, mwst FROM kundendaten.upcoming_items WHERE kunde=? ORDER BY startdatum ASC", array($c));
74 74
   $ret = array();
75 75
   while($line = $result->fetch())
76 76
 	  array_push($ret, $line);
... ...
@@ -165,7 +165,7 @@ function generate_bezahlcode_image($id)
165 165
 
166 166
 function get_lastschrift($rechnungsnummer) {
167 167
   $rechnungsnummer = (int) $rechnungsnummer;
168
-  $result = db_query("SELECT rechnungsnummer, rechnungsdatum, sl.betrag, buchungsdatum FROM kundendaten.sepalastschrift sl LEFT JOIN kundendaten.ausgestellte_rechnungen re ON (re.id=sl.rechnungsnummer) WHERE rechnungsnummer='${rechnungsnummer}' AND re.abbuchung=1");
168
+  $result = db_query("SELECT rechnungsnummer, rechnungsdatum, sl.betrag, buchungsdatum FROM kundendaten.sepalastschrift sl LEFT JOIN kundendaten.ausgestellte_rechnungen re ON (re.id=sl.rechnungsnummer) WHERE rechnungsnummer=? AND re.abbuchung=1", array($rechnungsnummer));
169 169
   if ($result->rowCount() == 0) {
170 170
     return NULL;
171 171
   }
... ...
@@ -176,7 +176,7 @@ function get_lastschrift($rechnungsnummer) {
176 176
 function get_lastschriften($mandatsreferenz)
177 177
 {
178 178
   $mandatsreferenz = db_escape_string($mandatsreferenz);
179
-  $result = db_query("SELECT rechnungsnummer, rechnungsdatum, betrag, buchungsdatum FROM kundendaten.sepalastschrift WHERE mandatsreferenz='${mandatsreferenz}' ORDER BY buchungsdatum DESC");
179
+  $result = db_query("SELECT rechnungsnummer, rechnungsdatum, betrag, buchungsdatum FROM kundendaten.sepalastschrift WHERE mandatsreferenz=? ORDER BY buchungsdatum DESC", array($mandatsreferenz));
180 180
   $ret = array();
181 181
   while ($item = $result->fetch()) {
182 182
     $ret[] = $item;
... ...
@@ -187,7 +187,7 @@ function get_lastschriften($mandatsreferenz)
187 187
 function get_sepamandate() 
188 188
 {
189 189
   $cid = (int) $_SESSION['customerinfo']['customerno'];
190
-  $result = db_query("SELECT id, mandatsreferenz, glaeubiger_id, erteilt, medium, gueltig_ab, gueltig_bis, erstlastschrift, kontoinhaber, adresse, iban, bic, bankname FROM kundendaten.sepamandat WHERE kunde={$cid}");
190
+  $result = db_query("SELECT id, mandatsreferenz, glaeubiger_id, erteilt, medium, gueltig_ab, gueltig_bis, erstlastschrift, kontoinhaber, adresse, iban, bic, bankname FROM kundendaten.sepamandat WHERE kunde=?", array($cid));
191 191
   $ret = array();
192 192
   while ($entry = $result->fetch()) {
193 193
     array_push($ret, $entry);
... ...
@@ -206,22 +206,16 @@ function yesterday($date)
206 206
 
207 207
 function invalidate_sepamandat($id, $date) 
208 208
 {
209
-  $cid = (int) $_SESSION['customerinfo']['customerno'];
210
-  $id = (int) $id;
211
-  $date = db_escape_string($date);
212
-  db_query("UPDATE kundendaten.sepamandat SET gueltig_bis='{$date}' WHERE id={$id} AND kunde={$cid}");
209
+  $args = array(":cid" => (int) $_SESSION['customerinfo']['customerno'],
210
+                ":id" => (int) $id,
211
+                ":date" => $date);
212
+  db_query("UPDATE kundendaten.sepamandat SET gueltig_bis=:date WHERE id=:id AND kunde=:cid", $args);
213 213
 }
214 214
 
215 215
 
216 216
 function sepamandat($name, $adresse, $iban, $bankname, $bic, $gueltig_ab)
217 217
 {
218 218
   $cid = (int) $_SESSION['customerinfo']['customerno'];
219
-  $name = db_escape_string($name);
220
-  $adresse = db_escape_string($adresse);
221
-  $iban = db_escape_string($iban);
222
-  $bankname = db_escape_string($bankname);
223
-  $bic = db_escape_string($bic);
224
-  $gueltig_ab = db_escape_string($gueltig_ab);
225 219
 
226 220
   $first_date = date('Y-m-d');
227 221
   $invoices = my_invoices();
... ...
@@ -254,7 +248,10 @@ function sepamandat($name, $adresse, $iban, $bankname, $bic, $gueltig_ab)
254 248
   $glaeubiger_id = config('glaeubiger_id');
255 249
 
256 250
   $today = date('Y-m-d');
257
-  db_query("INSERT INTO kundendaten.sepamandat (mandatsreferenz, glaeubiger_id, kunde, erteilt, medium, gueltig_ab, kontoinhaber, adresse, iban, bic, bankname) VALUES ('{$referenz}', '${glaeubiger_id}', {$cid}, '{$today}', 'online', '{$gueltig_ab}', '{$name}', '{$adresse}', '{$iban}', '{$bic}', '{$bankname}')");
251
+  db_query("INSERT INTO kundendaten.sepamandat (mandatsreferenz, glaeubiger_id, kunde, erteilt, medium, gueltig_ab, kontoinhaber, adresse, iban, bic, bankname) VALUES (:referenz, :glaeubiger_id, :cid, :today, 'online', :gueltig_ab, :name, :adresse, :iban, :bic, :bankname)",
252
+          array(":referenz" => $referenz, ":glaeubiger_id" => $glaeubiger_id, ":cid" => $cid, 
253
+                ":today" => $today, ":gueltig_ab" => $gueltig_ab, ":name" => $name, ":adresse" => $adresse, 
254
+                ":iban" => $iban, ":bic" => $bic, ":bankname" => $bankname));
258 255
 }
259 256
 
260 257