phpBMS

Changeset 720 for trunk/phpbms/modules

Show
Ignore:
Timestamp:
01/06/10 17:04:26 (2 years ago)
Author:
brieb
Message:
  • fixed checkunique breaking with uuids and possible SQL injection
  • fixed backslashes in searches
  • fixed mark_as in invoice search commands incorrectly setting value to string 'NULL'
Location:
trunk/phpbms/modules/bms
Files:
2 modified

Legend:

Unmodified
Added
Removed

  • trunk/phpbms/modules/bms/include/invoices.php

    r703 r720  
    816816                                }//end if 
    817817 
    818                                 if(!in_array(((string)$variables["assignedtoid"]),$this->_availableUserUUIDs)) 
     818                                if(!in_array(((string)$variables["assignedtoid"]), $this->_availableUserUUIDs)) 
    819819                                        $this->verifyErrors[] = "The `assignedtoid` field does not give an existing/acceptable user id number."; 
    820820 
     
    15561556 
    15571557                                if($therecord["defaultassignedtoid"]!="") 
    1558                                         $assignedtoid = $therecord["defaultassignedtoid"]; 
     1558                                        $assignedtoid = "'".$therecord["defaultassignedtoid"]."'"; 
    15591559                                else 
    15601560                                        $assignedtoid="NULL"; 
     
    15951595                                        SET 
    15961596                                                invoices.statusdate=NOW(), 
    1597                                                 assignedtoid='".$assignedtoid."', 
     1597                                                assignedtoid=".$assignedtoid.", 
    15981598                                                modifiedby=".$_SESSION["userinfo"]["id"].", "; 
    15991599 
     
    16271627                                $querystatement="INSERT INTO invoicestatushistory (invoiceid,invoicestatusid,statusdate,assignedtoid) values ("; 
    16281628                                $querystatement.="'".$therecord["uuid"]."','".$statusid."',NOW(),"; 
    1629                                 $querystatement.="'".$assignedtoid."'"; 
     1629                                $querystatement.= $assignedtoid; 
    16301630                                $querystatement.=")"; 
    16311631                                $insertresult = $this->db->query($querystatement); 

  • trunk/phpbms/modules/bms/javascript/product.js

    r703 r720  
    8181 
    8282        var partnumber = getObjectFromID("partnumber"); 
    83         var excludeid = getObjectFromID("id"); 
    84  
    85         if(!checkUnique(4, "partnumber", partnumber.value, parseInt(excludeid.value))){ 
     83        var excludeid = getObjectFromID("uuid"); 
     84 
     85        if(!checkUnique('tbld:7a9e87ed-d165-c4a4-d9b9-0a4adc3c5a34', "partnumber", partnumber.value, excludeid.value)){ 
    8686 
    8787            alert("Part number must be unique."); 
phpBMS vulnerability assesment provided by Orvant Inc. Copyright © 2010 Kreotek, LLC. All Rights reserved.