プロジェクト

全般

プロフィール

Backport(バックポート) #3684

完了

opSecurityUser::login() で生成される member/setSid アクションへリダイレクトするために渡される個々のパラメータがURLエンコードされていない

誠二 天重 さんが10年以上前に追加. 約10年前に更新.

ステータス:
Fixed(完了)
優先度:
Normal(通常)
担当者:
対象バージョン:
開始日:
2012-10-01
期日:
進捗率:

100%

予定工数:

説明

現象

opSecurityUser::login() 内に以下のような処理があり、パラメータをurlencode()せず、文字結合している。
この $uri の返値は、現時点では opMemberAction::login() でのみ使われており (本チケットはOpenPNE本体のみのソースを追って確認したもので、プラグインなどで別の用途でこの返値を使っている場合、このチケットの修正目的からすると影響を受けてしまう。)、ここからリダイレクト用のURLとして扱われているので、urlencode() されている必要のあるパラメータだと考えられる。

  • is_remember_login のパラメータについてはintでキャストしているため問題ないと考えられる
  • next_uri, sid, ts のパラメータについては、URLとして意味を持つ文字列が含まれる可能性があるため、urlencode() が必要と考えられる
        $uri = '@member_setSid?next_uri='.$uri
             .'&is_remember_login='.(int)$this->getAuthAdapter()->getAuthForm()->getValue('is_remember_me')
             .'&sid='.$item[0]
             .'&ts='.$item[1];

原因

urlencode() の対応漏れだと考えられる

修正案

各パラメータに urlencode() を施す


関連するチケット 1 (0件未完了1件完了)

コピー元 OpenPNE 3 - Bug(バグ) #3220: opSecurityUser::login() で生成される member/setSid アクションへリダイレクトするために渡される個々のパラメータがURLエンコードされていないWon't fix(対応せず)kaoru n2012-10-01

操作

誠二 天重 さんが10年以上前に更新

  • コピー元 Bug(バグ) #3220: opSecurityUser::login() で生成される member/setSid アクションへリダイレクトするために渡される個々のパラメータがURLエンコードされていない を追加

誠二 天重 さんが10年以上前に更新

  • 担当者Akihiro KOBAYASHI から 誠二 天重 に変更

誠二 天重 さんが10年以上前に更新

  • ステータスNew(新規) から Pending Review(レビュー待ち) に変更
  • 進捗率0 から 50 に変更

Shinichi Urabe さんが約10年前に更新

  • ステータスPending Review(レビュー待ち) から Pending Testing(テスト待ち) に変更
  • 進捗率50 から 70 に変更

isao sano さんが約10年前に更新

  • ステータスPending Testing(テスト待ち) から Pending Merge(マージ待ち) に変更
  • 進捗率70 から 80 に変更

単体試験完了しました。
問題ありあせん。

Shinichi Urabe さんが約10年前に更新

  • ステータスPending Merge(マージ待ち) から Fixed(完了) に変更
  • 進捗率80 から 100 に変更

他の形式にエクスポート: Atom PDF