脆弱性

画像の詳細プログラムでのSQLインジェクション

情報公開日：2008年 11月 07日
危険度：高
対象：Ver 2.3.0未満

-----------------------------------------
脆弱性のあるファイル
-----------------------------------------
1系 html/products/detail_image.php
-----------------------------------------
対策
-----------------------------------------
74-75行目あたりを変更する。
html/products/detail_image.php
=========================================
変更前
=========================================
$objQuery = new SC_Query();
$col = "name, $image_key";

=========================================
変更後
=========================================
$objQuery = new SC_Query();
$col = "name, $image_key";
if(!sfColumnExists("dtb_products",$_GET['image'])){
	sfDispSiteError(PRODUCT_NOT_FOUND);	
}