Skip to content
Extraits de code Groupes Projets
Valider 93430d92 rédigé par thomas's avatar thomas
Parcourir les fichiers

Improve access control checks on Perso::cancel()

parent d88f43c7
Aucune branche associée trouvée
Aucune étiquette associée trouvée
2 requêtes de fusion!154Escape all values interpolated in SQL queries in the Perso controller,!151Draft: Escape all values interpolated in SQL queries in the Perso controller
Masquer les modifications d'espaces
En ligne Côte à côte
Affichage de
avec 4 ajouts et 1 suppression
app/controller/perso.php
+ 4
1
Voir le fichier @ 93430d92
......@@ -490,8 +490,11 @@ class Perso extends Controller
public function cancel($f3, $params)
{
if (!$f3->exists('SESSION.user')) {
$f3->reroute('/login');
}
$db = $f3->get('DB');
$result = $db->query("SELECT identifier, user_id from identifiers where identifier like '".$params['id']."'");
$result = $db->query("SELECT identifier, user_id from identifiers where identifier like '".$params['id']."' and user_id='".\Utils::asl($f3->get('SESSION.id'))."'");
$result = $result->fetch(\PDO::FETCH_ASSOC);
if ($result) {
$identifier = $result['identifier'];
......
0% ou .
You are about to add 0 people to the discussion. Proceed with caution.
Terminez d'abord l'édition de ce message.
Veuillez vous inscrire ou vous pour commenter