Permalink
Browse files

Fix escape

  • Loading branch information...
yama committed May 8, 2014
1 parent 044cbc1 commit cf7597f393b751490733c805b76873e69dc9ae67
Showing with 1 addition and 0 deletions.
  1. +1 −0 manager/includes/extenders/sub.document.parser.class.inc.php
@@ -878,6 +878,7 @@ function ProcessTVCommand($input, $name = '', $docid = '', $src='docform') {
'PREFIX' => $modx->db->config['table_prefix']
);
$param = $modx->parseText($param,$ph);
$param = $modx->db->escape($param);
$rs = $modx->db->query("SELECT {$param}");
if($modx->db->getRecordCount($rs)==0) return;
$output = $rs;

1 comment on commit cf7597f

@Fiberalph

This comment has been minimized.

Show comment
Hide comment
@Fiberalph

Fiberalph Jun 11, 2014

Contributor

本修正について
テンプレート変数のオプション入力で@selectを使う場合、クォーテーションが使えなくなります。
例)
@select modx_site_htmlsnippets.name,
CONCAT( "{{", modx_site_htmlsnippets.name, '}}' )
FROM modx_site_htmlsnippets
LEFT JOIN modx_categories
ON modx_site_htmlsnippets.category = modx_categories.id
WHERE modx_categories.category LIKE "%レイアウトパターン%"
ORDER BY modx_site_htmlsnippets.name

とした場合、ダブルクォーテーションがエスケープされてMySQLエラーが発生します。
この行をコメントアウトすると正常に動作します。

Contributor

Fiberalph commented on cf7597f Jun 11, 2014

本修正について
テンプレート変数のオプション入力で@selectを使う場合、クォーテーションが使えなくなります。
例)
@select modx_site_htmlsnippets.name,
CONCAT( "{{", modx_site_htmlsnippets.name, '}}' )
FROM modx_site_htmlsnippets
LEFT JOIN modx_categories
ON modx_site_htmlsnippets.category = modx_categories.id
WHERE modx_categories.category LIKE "%レイアウトパターン%"
ORDER BY modx_site_htmlsnippets.name

とした場合、ダブルクォーテーションがエスケープされてMySQLエラーが発生します。
この行をコメントアウトすると正常に動作します。

Please sign in to comment.