migration to db_user to prevent sql injections
authorRoland Hieber <devnull@localhost>
Thu, 18 Feb 2010 17:23:42 +0000 (18:23 +0100)
committerRoland Hieber <devnull@localhost>
Thu, 18 Feb 2010 17:23:42 +0000 (18:23 +0100)
sql/mod_error-reporter.sql
src/config.php
src/detail.php
src/index.php

index 00ebb91..5551a14 100644 (file)
@@ -25,6 +25,8 @@
 -- THE SOFTWARE.
 --
 
+CREATE USER errorreporter;
+
 CREATE TABLE mod_errorreporter (
   er_uid          SERIAL                      NOT NULL PRIMARY KEY,
   er_date         TIMESTAMP WITHOUT TIME ZONE NOT NULL,
@@ -40,6 +42,9 @@ CREATE TABLE mod_errorreporter (
   er_hidden       BOOL
 );
 
-GRANT SELECT, INSERT, UPDATE, DELETE ON mod_errorreporter TO webusr, webadm;
-GRANT SELECT, UPDATE ON mod_errorreporter_er_uid_seq TO webusr, webadm;
+GRANT SELECT, INSERT, UPDATE, DELETE ON mod_errorreporter TO errorreporter;
+GRANT SELECT, UPDATE ON mod_errorreporter_er_uid_seq TO errorreporter;
+GRANT SELECT ON users TO errorreporter;
+GRANT SELECT, INSERT ON log_module TO errorreporter;
+GRANT INSERT ON log TO errorreporter;
 
index 52ba154..dfc09c1 100644 (file)
@@ -33,6 +33,8 @@ require_once("ctrl.inc");
 require_once("db.inc");
 require_once("sec/admsecure.inc");
 
+db_user("errorreporter");
+
 html_header("<style type='text/css'>
 td.errors-cfg-field {
   padding: 1em;
index b091f8f..a0af8ac 100644 (file)
@@ -30,6 +30,8 @@ require_once("mod_error-reporter/init.inc");
 require_once("sec/secure.inc");
 require_once("js.inc");
 
+db_user("errorreporter");
+
 PageBlue(_c("error-reporter:Change an error report"), "mod_error-reporter");
 
 if(!$cfgErrors->userHasAccess()) {
@@ -65,7 +67,6 @@ $er = $doc->getErrorReportByID($getUid);
 $strOldComment = $er->getComment();
 
 // Probably we have to update an error report
-echo "PostSubmit: $postSubmit";
 if($getAction == "update" and $postSubmit == _("Change"))
 {
   if($cfgErrors->userIsAdmin()) {
index 559fb42..9a9f7d7 100644 (file)
@@ -31,6 +31,8 @@
 require_once("mod_error-reporter/init.inc");
 require_once("sec/secure.inc");
 
+db_user("errorreporter");
+
 html_header("<style type='text/css'>
 td.errors-form-description {
   width: 12em;
This page took 0.0306 seconds and 4 git commands to generate.