Weitere Prepared-Statement-Umstellungen (27c8269) - webinterface.git

Weitere Prepared-Statement-Umstellungen

Bernd Wurst commited on 2014-02-02 17:44:30
Zeige 3 geänderte Dateien mit 17 Einfügungen und 23 Löschungen.

inc/base.php efb2b4c..aed4721
modules/email/include/vmail.php d594e08..acb3dca
modules/invoice/include/invoice.php 60174af..aaa8c87

inc/base.php

@@ -60,7 +60,7 @@ function config($key, $localonly = false)
 
 function get_server_by_id($id) {
   $id = (int) $id;
-  $result = db_query("SELECT hostname FROM system.servers WHERE id='{$id}'");
+  $result = db_query("SELECT hostname FROM system.servers WHERE id=?", array($id));
   $ret = $result->fetch();
   return $ret['hostname'];
 }

modules/email/include/vmail.php

Zeige Datei @ 27c8269

@@ -58,7 +58,6 @@ Ihre E-Mail wird nicht weitergeleitet.',
 
 function get_vmail_id_by_emailaddr($emailaddr) 
 {
-  $emailaddr = db_escape_string( $emailaddr );
   $result = db_query("SELECT id FROM mail.v_vmail_accounts WHERE CONCAT(local, '@', domainname) = ?", array($emailaddr));
   $entry = $result->fetch();
   return (int) $entry['id'];
@@ -135,7 +134,6 @@ function get_vmail_domains()
 
 function find_account_id($accname)
 {
-  $accname = db_escape_string($accname);
   DEBUG($accname);
   $tmp = explode('@', $accname, 2);
   DEBUG($tmp);
@@ -492,7 +490,6 @@ function domain_has_vmail_accounts($domid)
 function change_domain($id, $type)
 {
   $id = (int) $id;
-  $type = db_escape_string($type);
   if (domain_has_vmail_accounts($id))
     system_failure("Sie müssen zuerst alle E-Mail-Konten mit dieser Domain löschen, bevor Sie die Webinterface-Verwaltung für diese Domain abschalten können.");
   

modules/invoice/include/invoice.php

Zeige Datei @ 27c8269

@@ -23,7 +23,7 @@ include("external/php-iban/php-iban.php");
 function my_invoices()
 {
   $c = (int) $_SESSION['customerinfo']['customerno'];
-  $result = db_query("SELECT id,datum,betrag,bezahlt,abbuchung,sepamandat FROM kundendaten.ausgestellte_rechnungen WHERE kunde={$c} ORDER BY id DESC");
+  $result = db_query("SELECT id,datum,betrag,bezahlt,abbuchung,sepamandat FROM kundendaten.ausgestellte_rechnungen WHERE kunde=? ORDER BY id DESC", array($c));
   $ret = array();
   while($line = $result->fetch())
   	array_push($ret, $line);
@@ -35,7 +35,7 @@ function get_pdf($id)
 {
   $c = (int) $_SESSION['customerinfo']['customerno'];
   $id = (int) $id;
-  $result = db_query("SELECT pdfdata FROM kundendaten.ausgestellte_rechnungen WHERE kunde={$c} AND id={$id}");
+  $result = db_query("SELECT pdfdata FROM kundendaten.ausgestellte_rechnungen WHERE kunde=:c AND id=:id",array(":c" => $c, ":id" => $id));
   if ($result->rowCount() == 0)
 	  system_failure('Ungültige Rechnungsnummer oder nicht eingeloggt');
   return $result->fetch(PDO::FETCH_OBJ)->pdfdata;
@@ -47,7 +47,7 @@ function invoice_details($id)
 {
   $c = (int) $_SESSION['customerinfo']['customerno'];
   $id = (int) $id;
-  $result = db_query("SELECT kunde,datum,betrag,bezahlt,abbuchung FROM kundendaten.ausgestellte_rechnungen WHERE kunde={$c} AND id={$id}");
+  $result = db_query("SELECT kunde,datum,betrag,bezahlt,abbuchung FROM kundendaten.ausgestellte_rechnungen WHERE kunde=:c AND id=:id",array(":c" => $c, ":id" => $id));
   if ($result->rowCount() == 0)
   	system_failure('Ungültige Rechnungsnummer oder nicht eingeloggt');
   return $result->fetch();
@@ -57,7 +57,7 @@ function invoice_items($id)
 {
   $c = (int) $_SESSION['customerinfo']['customerno'];
   $id = (int) $id;
-  $result = db_query("SELECT id, beschreibung, datum, enddatum, betrag, einheit, brutto, mwst, anzahl FROM kundendaten.rechnungsposten WHERE rechnungsnummer={$id} AND kunde={$c}");
+  $result = db_query("SELECT id, beschreibung, datum, enddatum, betrag, einheit, brutto, mwst, anzahl FROM kundendaten.rechnungsposten WHERE rechnungsnummer=:id AND kunde=:c",array(":c" => $c, ":id" => $id));
   if ($result->rowCount() == 0)
   	system_failure('Ungültige Rechnungsnummer oder nicht eingeloggt');
   $ret = array();
@@ -70,7 +70,7 @@ function invoice_items($id)
 function upcoming_items()
 {
   $c = (int) $_SESSION['customerinfo']['customerno'];
-  $result = db_query("SELECT anzahl, beschreibung, startdatum, enddatum, betrag, einheit, brutto, mwst FROM kundendaten.upcoming_items WHERE kunde={$c} ORDER BY startdatum ASC");
+  $result = db_query("SELECT anzahl, beschreibung, startdatum, enddatum, betrag, einheit, brutto, mwst FROM kundendaten.upcoming_items WHERE kunde=? ORDER BY startdatum ASC", array($c));
   $ret = array();
   while($line = $result->fetch())
 	  array_push($ret, $line);
@@ -165,7 +165,7 @@ function generate_bezahlcode_image($id)
 
 function get_lastschrift($rechnungsnummer) {
   $rechnungsnummer = (int) $rechnungsnummer;
-  $result = db_query("SELECT rechnungsnummer, rechnungsdatum, sl.betrag, buchungsdatum FROM kundendaten.sepalastschrift sl LEFT JOIN kundendaten.ausgestellte_rechnungen re ON (re.id=sl.rechnungsnummer) WHERE rechnungsnummer='${rechnungsnummer}' AND re.abbuchung=1");
+  $result = db_query("SELECT rechnungsnummer, rechnungsdatum, sl.betrag, buchungsdatum FROM kundendaten.sepalastschrift sl LEFT JOIN kundendaten.ausgestellte_rechnungen re ON (re.id=sl.rechnungsnummer) WHERE rechnungsnummer=? AND re.abbuchung=1", array($rechnungsnummer));
   if ($result->rowCount() == 0) {
     return NULL;
   }
@@ -176,7 +176,7 @@ function get_lastschrift($rechnungsnummer) {
 function get_lastschriften($mandatsreferenz)
 {
   $mandatsreferenz = db_escape_string($mandatsreferenz);
-  $result = db_query("SELECT rechnungsnummer, rechnungsdatum, betrag, buchungsdatum FROM kundendaten.sepalastschrift WHERE mandatsreferenz='${mandatsreferenz}' ORDER BY buchungsdatum DESC");
+  $result = db_query("SELECT rechnungsnummer, rechnungsdatum, betrag, buchungsdatum FROM kundendaten.sepalastschrift WHERE mandatsreferenz=? ORDER BY buchungsdatum DESC", array($mandatsreferenz));
   $ret = array();
   while ($item = $result->fetch()) {
     $ret[] = $item;
@@ -187,7 +187,7 @@ function get_lastschriften($mandatsreferenz)
 function get_sepamandate() 
 {
   $cid = (int) $_SESSION['customerinfo']['customerno'];
-  $result = db_query("SELECT id, mandatsreferenz, glaeubiger_id, erteilt, medium, gueltig_ab, gueltig_bis, erstlastschrift, kontoinhaber, adresse, iban, bic, bankname FROM kundendaten.sepamandat WHERE kunde={$cid}");
+  $result = db_query("SELECT id, mandatsreferenz, glaeubiger_id, erteilt, medium, gueltig_ab, gueltig_bis, erstlastschrift, kontoinhaber, adresse, iban, bic, bankname FROM kundendaten.sepamandat WHERE kunde=?", array($cid));
   $ret = array();
   while ($entry = $result->fetch()) {
     array_push($ret, $entry);
@@ -206,22 +206,16 @@ function yesterday($date)
 
 function invalidate_sepamandat($id, $date) 
 {
-  $cid = (int) $_SESSION['customerinfo']['customerno'];
-  $id = (int) $id;
-  $date = db_escape_string($date);
-  db_query("UPDATE kundendaten.sepamandat SET gueltig_bis='{$date}' WHERE id={$id} AND kunde={$cid}");
+  $args = array(":cid" => (int) $_SESSION['customerinfo']['customerno'],
+                ":id" => (int) $id,
+                ":date" => $date);
+  db_query("UPDATE kundendaten.sepamandat SET gueltig_bis=:date WHERE id=:id AND kunde=:cid", $args);
 }
 
 
 function sepamandat($name, $adresse, $iban, $bankname, $bic, $gueltig_ab)
 {
   $cid = (int) $_SESSION['customerinfo']['customerno'];
-  $name = db_escape_string($name);
-  $adresse = db_escape_string($adresse);
-  $iban = db_escape_string($iban);
-  $bankname = db_escape_string($bankname);
-  $bic = db_escape_string($bic);
-  $gueltig_ab = db_escape_string($gueltig_ab);
 
   $first_date = date('Y-m-d');
   $invoices = my_invoices();
@@ -254,7 +248,10 @@ function sepamandat($name, $adresse, $iban, $bankname, $bic, $gueltig_ab)
   $glaeubiger_id = config('glaeubiger_id');
 
   $today = date('Y-m-d');
-  db_query("INSERT INTO kundendaten.sepamandat (mandatsreferenz, glaeubiger_id, kunde, erteilt, medium, gueltig_ab, kontoinhaber, adresse, iban, bic, bankname) VALUES ('{$referenz}', '${glaeubiger_id}', {$cid}, '{$today}', 'online', '{$gueltig_ab}', '{$name}', '{$adresse}', '{$iban}', '{$bic}', '{$bankname}')");
+  db_query("INSERT INTO kundendaten.sepamandat (mandatsreferenz, glaeubiger_id, kunde, erteilt, medium, gueltig_ab, kontoinhaber, adresse, iban, bic, bankname) VALUES (:referenz, :glaeubiger_id, :cid, :today, 'online', :gueltig_ab, :name, :adresse, :iban, :bic, :bankname)",
+          array(":referenz" => $referenz, ":glaeubiger_id" => $glaeubiger_id, ":cid" => $cid, 
+                ":today" => $today, ":gueltig_ab" => $gueltig_ab, ":name" => $name, ":adresse" => $adresse, 
+                ":iban" => $iban, ":bic" => $bic, ":bankname" => $bankname));
 }
 
 


...	...	@@ -60,7 +60,7 @@ function config($key, $localonly = false)
60	60
61	61	function get_server_by_id($id) {
62	62	$id = (int) $id;
63		- $result = db_query("SELECT hostname FROM system.servers WHERE id='{$id}'");
	63	+ $result = db_query("SELECT hostname FROM system.servers WHERE id=?", array($id));
64	64	$ret = $result->fetch();
65	65	return $ret['hostname'];
66	66	}

...	...	@@ -58,7 +58,6 @@ Ihre E-Mail wird nicht weitergeleitet.',
58	58
59	59	function get_vmail_id_by_emailaddr($emailaddr)
60	60	{
61		- $emailaddr = db_escape_string( $emailaddr );
62	61	$result = db_query("SELECT id FROM mail.v_vmail_accounts WHERE CONCAT(local, '@', domainname) = ?", array($emailaddr));
63	62	$entry = $result->fetch();
64	63	return (int) $entry['id'];
...	...	@@ -135,7 +134,6 @@ function get_vmail_domains()
135	134
136	135	function find_account_id($accname)
137	136	{
138		- $accname = db_escape_string($accname);
139	137	DEBUG($accname);
140	138	$tmp = explode('@', $accname, 2);
141	139	DEBUG($tmp);
...	...	@@ -492,7 +490,6 @@ function domain_has_vmail_accounts($domid)
492	490	function change_domain($id, $type)
493	491	{
494	492	$id = (int) $id;
495		- $type = db_escape_string($type);
496	493	if (domain_has_vmail_accounts($id))
497	494	system_failure("Sie müssen zuerst alle E-Mail-Konten mit dieser Domain löschen, bevor Sie die Webinterface-Verwaltung für diese Domain abschalten können.");
498	495

...	...	@@ -23,7 +23,7 @@ include("external/php-iban/php-iban.php");
23	23	function my_invoices()
24	24	{
25	25	$c = (int) $_SESSION['customerinfo']['customerno'];
26		- $result = db_query("SELECT id,datum,betrag,bezahlt,abbuchung,sepamandat FROM kundendaten.ausgestellte_rechnungen WHERE kunde={$c} ORDER BY id DESC");
	26	+ $result = db_query("SELECT id,datum,betrag,bezahlt,abbuchung,sepamandat FROM kundendaten.ausgestellte_rechnungen WHERE kunde=? ORDER BY id DESC", array($c));
27	27	$ret = array();
28	28	while($line = $result->fetch())
29	29	array_push($ret, $line);
...	...	@@ -35,7 +35,7 @@ function get_pdf($id)
35	35	{
36	36	$c = (int) $_SESSION['customerinfo']['customerno'];
37	37	$id = (int) $id;
38		- $result = db_query("SELECT pdfdata FROM kundendaten.ausgestellte_rechnungen WHERE kunde={$c} AND id={$id}");
	38	+ $result = db_query("SELECT pdfdata FROM kundendaten.ausgestellte_rechnungen WHERE kunde=:c AND id=:id",array(":c" => $c, ":id" => $id));
39	39	if ($result->rowCount() == 0)
40	40	system_failure('Ungültige Rechnungsnummer oder nicht eingeloggt');
41	41	return $result->fetch(PDO::FETCH_OBJ)->pdfdata;
...	...	@@ -47,7 +47,7 @@ function invoice_details($id)
47	47	{
48	48	$c = (int) $_SESSION['customerinfo']['customerno'];
49	49	$id = (int) $id;
50		- $result = db_query("SELECT kunde,datum,betrag,bezahlt,abbuchung FROM kundendaten.ausgestellte_rechnungen WHERE kunde={$c} AND id={$id}");
	50	+ $result = db_query("SELECT kunde,datum,betrag,bezahlt,abbuchung FROM kundendaten.ausgestellte_rechnungen WHERE kunde=:c AND id=:id",array(":c" => $c, ":id" => $id));
51	51	if ($result->rowCount() == 0)
52	52	system_failure('Ungültige Rechnungsnummer oder nicht eingeloggt');
53	53	return $result->fetch();
...	...	@@ -57,7 +57,7 @@ function invoice_items($id)
57	57	{
58	58	$c = (int) $_SESSION['customerinfo']['customerno'];
59	59	$id = (int) $id;
60		- $result = db_query("SELECT id, beschreibung, datum, enddatum, betrag, einheit, brutto, mwst, anzahl FROM kundendaten.rechnungsposten WHERE rechnungsnummer={$id} AND kunde={$c}");
	60	+ $result = db_query("SELECT id, beschreibung, datum, enddatum, betrag, einheit, brutto, mwst, anzahl FROM kundendaten.rechnungsposten WHERE rechnungsnummer=:id AND kunde=:c",array(":c" => $c, ":id" => $id));
61	61	if ($result->rowCount() == 0)
62	62	system_failure('Ungültige Rechnungsnummer oder nicht eingeloggt');
63	63	$ret = array();
...	...	@@ -70,7 +70,7 @@ function invoice_items($id)
70	70	function upcoming_items()
71	71	{
72	72	$c = (int) $_SESSION['customerinfo']['customerno'];
73		- $result = db_query("SELECT anzahl, beschreibung, startdatum, enddatum, betrag, einheit, brutto, mwst FROM kundendaten.upcoming_items WHERE kunde={$c} ORDER BY startdatum ASC");
	73	+ $result = db_query("SELECT anzahl, beschreibung, startdatum, enddatum, betrag, einheit, brutto, mwst FROM kundendaten.upcoming_items WHERE kunde=? ORDER BY startdatum ASC", array($c));
74	74	$ret = array();
75	75	while($line = $result->fetch())
76	76	array_push($ret, $line);
...	...	@@ -165,7 +165,7 @@ function generate_bezahlcode_image($id)
165	165
166	166	function get_lastschrift($rechnungsnummer) {
167	167	$rechnungsnummer = (int) $rechnungsnummer;
168		- $result = db_query("SELECT rechnungsnummer, rechnungsdatum, sl.betrag, buchungsdatum FROM kundendaten.sepalastschrift sl LEFT JOIN kundendaten.ausgestellte_rechnungen re ON (re.id=sl.rechnungsnummer) WHERE rechnungsnummer='${rechnungsnummer}' AND re.abbuchung=1");
	168	+ $result = db_query("SELECT rechnungsnummer, rechnungsdatum, sl.betrag, buchungsdatum FROM kundendaten.sepalastschrift sl LEFT JOIN kundendaten.ausgestellte_rechnungen re ON (re.id=sl.rechnungsnummer) WHERE rechnungsnummer=? AND re.abbuchung=1", array($rechnungsnummer));
169	169	if ($result->rowCount() == 0) {
170	170	return NULL;
171	171	}
...	...	@@ -176,7 +176,7 @@ function get_lastschrift($rechnungsnummer) {
176	176	function get_lastschriften($mandatsreferenz)
177	177	{
178	178	$mandatsreferenz = db_escape_string($mandatsreferenz);
179		- $result = db_query("SELECT rechnungsnummer, rechnungsdatum, betrag, buchungsdatum FROM kundendaten.sepalastschrift WHERE mandatsreferenz='${mandatsreferenz}' ORDER BY buchungsdatum DESC");
	179	+ $result = db_query("SELECT rechnungsnummer, rechnungsdatum, betrag, buchungsdatum FROM kundendaten.sepalastschrift WHERE mandatsreferenz=? ORDER BY buchungsdatum DESC", array($mandatsreferenz));
180	180	$ret = array();
181	181	while ($item = $result->fetch()) {
182	182	$ret[] = $item;
...	...	@@ -187,7 +187,7 @@ function get_lastschriften($mandatsreferenz)
187	187	function get_sepamandate()
188	188	{
189	189	$cid = (int) $_SESSION['customerinfo']['customerno'];
190		- $result = db_query("SELECT id, mandatsreferenz, glaeubiger_id, erteilt, medium, gueltig_ab, gueltig_bis, erstlastschrift, kontoinhaber, adresse, iban, bic, bankname FROM kundendaten.sepamandat WHERE kunde={$cid}");
	190	+ $result = db_query("SELECT id, mandatsreferenz, glaeubiger_id, erteilt, medium, gueltig_ab, gueltig_bis, erstlastschrift, kontoinhaber, adresse, iban, bic, bankname FROM kundendaten.sepamandat WHERE kunde=?", array($cid));
191	191	$ret = array();
192	192	while ($entry = $result->fetch()) {
193	193	array_push($ret, $entry);
...	...	@@ -206,22 +206,16 @@ function yesterday($date)
206	206
207	207	function invalidate_sepamandat($id, $date)
208	208	{
209		- $cid = (int) $_SESSION['customerinfo']['customerno'];
210		- $id = (int) $id;
211		- $date = db_escape_string($date);
212		- db_query("UPDATE kundendaten.sepamandat SET gueltig_bis='{$date}' WHERE id={$id} AND kunde={$cid}");
	209	+ $args = array(":cid" => (int) $_SESSION['customerinfo']['customerno'],
	210	+ ":id" => (int) $id,
	211	+ ":date" => $date);
	212	+ db_query("UPDATE kundendaten.sepamandat SET gueltig_bis=:date WHERE id=:id AND kunde=:cid", $args);
213	213	}
214	214
215	215
216	216	function sepamandat($name, $adresse, $iban, $bankname, $bic, $gueltig_ab)
217	217	{
218	218	$cid = (int) $_SESSION['customerinfo']['customerno'];
219		- $name = db_escape_string($name);
220		- $adresse = db_escape_string($adresse);
221		- $iban = db_escape_string($iban);
222		- $bankname = db_escape_string($bankname);
223		- $bic = db_escape_string($bic);
224		- $gueltig_ab = db_escape_string($gueltig_ab);
225	219
226	220	$first_date = date('Y-m-d');
227	221	$invoices = my_invoices();
...	...	@@ -254,7 +248,10 @@ function sepamandat($name, $adresse, $iban, $bankname, $bic, $gueltig_ab)
254	248	$glaeubiger_id = config('glaeubiger_id');
255	249
256	250	$today = date('Y-m-d');
257		- db_query("INSERT INTO kundendaten.sepamandat (mandatsreferenz, glaeubiger_id, kunde, erteilt, medium, gueltig_ab, kontoinhaber, adresse, iban, bic, bankname) VALUES ('{$referenz}', '${glaeubiger_id}', {$cid}, '{$today}', 'online', '{$gueltig_ab}', '{$name}', '{$adresse}', '{$iban}', '{$bic}', '{$bankname}')");
	251	+ db_query("INSERT INTO kundendaten.sepamandat (mandatsreferenz, glaeubiger_id, kunde, erteilt, medium, gueltig_ab, kontoinhaber, adresse, iban, bic, bankname) VALUES (:referenz, :glaeubiger_id, :cid, :today, 'online', :gueltig_ab, :name, :adresse, :iban, :bic, :bankname)",
	252	+ array(":referenz" => $referenz, ":glaeubiger_id" => $glaeubiger_id, ":cid" => $cid,
	253	+ ":today" => $today, ":gueltig_ab" => $gueltig_ab, ":name" => $name, ":adresse" => $adresse,
	254	+ ":iban" => $iban, ":bic" => $bic, ":bankname" => $bankname));
258	255	}
259	256
260	257
261	258