From ad2fd62990eb70b42e54640e7234844cd7720986 Mon Sep 17 00:00:00 2001 From: Edmar Moretti Date: Tue, 2 Aug 2016 11:48:24 -0300 Subject: [PATCH] ajustes de validação de variáveis --- classesphp/pega_variaveis.php | 11 +++++++---- ms_criamapa.php | 2 -- 2 files changed, 7 insertions(+), 6 deletions(-) diff --git a/classesphp/pega_variaveis.php b/classesphp/pega_variaveis.php index c2c4798..4333043 100755 --- a/classesphp/pega_variaveis.php +++ b/classesphp/pega_variaveis.php @@ -56,14 +56,16 @@ i3geo/classesphp/pega_variaveis.php //echo "
";
 //var_dump($_POST);exit;
 error_reporting(0);
+$bl = array("passthru","shell_exec","escapeshellarg","escapeshellcmd","proc_close","proc_open","dl","popen"," ","base64","contents","delete","drop","update","insert","exec","system",";");
 if (isset($_GET))
 {
 	foreach(array_keys($_GET) as $k)
 	{
-		$k = str_ireplace(array(" ","delete","drop","update","insert","exec","system",";"),"",$k);
+		$k = str_ireplace($bl,"",$k);
 		if ($_GET[$k] != "''"){
 			$v = strip_tags($_GET[$k]);
-			$v = str_ireplace(array("delete","drop","update","insert","exec","system",";"),"",$v);
+			$v = str_ireplace($bl,"",$v);
+			//$v = filter_var($v, FILTER_SANITIZE_STRING,FILTER_FLAG_ENCODE_LOW);
 			eval("\$".$k."='".(trim($v))."';");
 		}
 	}
@@ -74,8 +76,9 @@ if (isset($_POST))
 	//var_dump($_POST);exit;
 	foreach(array_keys($_POST) as $k)
 	{
-		$k = str_ireplace(array(" ","delete","drop","update","insert","exec","system",";"),"",$k);
-		$_POST[$k] = str_ireplace(array("delete","drop","update","insert","exec","system",";"),"",$_POST[$k]);
+		$k = str_ireplace($bl,"",$k);
+		$_POST[$k] = str_ireplace($bl,"",$_POST[$k]);
+		//$_POST[$k] = filter_var($_POST[$k], FILTER_SANITIZE_STRING,FILTER_FLAG_ENCODE_LOW);
 		if (($_POST[$k] != "''"))
 		eval("\$".$k."='".(strip_tags(trim($_POST[$k])))."';");
 
diff --git a/ms_criamapa.php b/ms_criamapa.php
index 79d4198..10e8344 100755
--- a/ms_criamapa.php
+++ b/ms_criamapa.php
@@ -221,8 +221,6 @@ filtros - filtros podem ser adicionados incluindo o parametro da seguinte forma:
 	";
 	exit;
 }
-
-
 //$_COOKIE = array();
 //
 //quando $funcao existe, é pq o ms_criamapa.php está sendo utilizado como um include em classesphp/mapa_controle.php
--
libgit2 0.21.2