こんにちは。どこに書くのが良いのか判断付かなかったのでこちらへ。
単体配布のphx付属の CustomModifiers にある get と post ですが、下記のドキュメントにあるコードですと htmlspecialchars を使用してサニタイズしているのですが、実際に配布されているパッケージの方は直近のパッケージでもそのようになっていないようで、 $_GET そのままの値が戻ってきます。
『ドキュメント』
http://wiki.modxcms.com/index.php/PHx/C ... rs#phx:get
『確認した配布元』
https://github.com/modxcms-jp/evolution-jp/downloads -- 2.1.5
http://modx.com/extras/package/phx -- 2.2.0-rc
http://modx.com/extras/package/phx?vers ... 396d000630 -- 2.1.3
個人的に :get をよく使用していて、以前は自前でサニタイズするようにしていたのですが、上記ドキュメントを見て信じこんでしまった後に作成したコードで引っかかってしまいました(;。;)。 まぁ、私のテスト不足なんですが。
他の方が同じ状況にならないよう、念のため、こちらに書かせて頂きました。
単体配布版のphxの get/post について
Re: 単体配布版のphxの get/post について
https://github.com/yama/phx/commit/60ee ... 09ba786333
さっそく反映しました。パッケージとして配布するぶんは後日調整します。
ロシア版のほうは作者にお伝えします
さっそく反映しました。パッケージとして配布するぶんは後日調整します。
ロシア版のほうは作者にお伝えします
Re: 単体配布版のphxの get/post について
早速のご対応ありがとうございました。
配布の修正も大事ですが、既存環境での周知も必要だろうと言うことでこちらに記載しました。
実はIPAからの連絡に絡んで総ざらいチェックしてみたら、当初アヤシイと見ていた自作コードの範囲に見当たらず、ここに難ありという結論になったのでした…。
引き続きよろしくお願いいたします。
配布の修正も大事ですが、既存環境での周知も必要だろうと言うことでこちらに記載しました。
実はIPAからの連絡に絡んで総ざらいチェックしてみたら、当初アヤシイと見ていた自作コードの範囲に見当たらず、ここに難ありという結論になったのでした…。
引き続きよろしくお願いいたします。