バージョン選択

フォーラム

メニュー

オンライン状況

138 人のユーザが現在オンラインです。 (87 人のユーザが フォーラム を参照しています。)
登録ユーザ: 0
ゲスト: 138
もっと...

サイト内検索

プラグイン > バグ報告・利用に関する質問 > イージーチャットが管理画面でエラーになる

バグ報告・利用に関する質問

新規スレッドを追加する

スレッド表示 | 新しいものから 前のトピック | 次のトピック | 下へ
投稿者 スレッド
h_tanaka
投稿日時: 2020/3/26 16:24
対応状況: −−−
仙人
登録日: 2016/7/22
居住地: 愛媛県
投稿: 992
イージーチャットが管理画面でエラーになる
EC-CUBE 3.0.10
イージーチャット 1.0.0

管理画面の 会員管理 > イージーチャット を開こうとすると次のエラーが表示されるようになりました。
eccube.CRITICAL: Twig_Error_Runtime: An exception has been thrown during the rendering of a template ("Parameter "cid" for route "hsd_chat_admin_corres" must match "[^/]++" ("170e636ea88150'/**/and(sele" given) to generate a corresponding URL.")

調査したところ、データベースの plg_hsd_chat_list テーブルの client_id に 不正なコマンドらしきものが登録されていました。

ソースを確認したところ、 client_id は javaScript にて生成しており、PHP に post データとして渡されてそのままノーチェックでDBに保存されていました。
javaScript はフロントサイドで自由に変更できますので、試してみると client_id にどんな文字でも指定できてしまいました。

エラー自体は不正なレコードを削除することで回避するこができましたが、再発防止のためには、POST で渡される $client_id を半角英数チェックした上で、$client_id, $cont に対してSQLインジェクション対策を行う必要があると思います。
hsd
投稿日時: 2020/3/26 20:17
対応状況: −−−
新米
登録日: 2020/3/26
居住地:
投稿: 1
Re: イージーチャットが管理画面でエラーになる
h_tanaka さま

ご連絡をありがとうございます。
また、ご迷惑をお掛け致しまして誠に申し訳ございません。

ご指摘いただきました内容を、ver 1.0.3 として修正・申請
をさせていただきました。

どうぞ宜しくお願い致します。
HagaSoftwareDesign 羽賀
h_tanaka
投稿日時: 2020/3/27 9:08
対応状況: −−−
仙人
登録日: 2016/7/22
居住地: 愛媛県
投稿: 992
Re: イージーチャットが管理画面でエラーになる
hsd 様

ご対応いただきありがとうございます。
公開されましたらまたご連絡いただけますと幸いです。
よろしくお願いいたします。


----------------
EC-CUBE 《プラチナ》ランクパートナー
トエビス株式会社 田中 宏典
EC-CUBEの機能やデザインのカスタマイズ承ります。

スレッド表示 | 新しいものから 前のトピック | 次のトピック | トップ


 



ログイン


EC-CUBEペイメント

公式ストアEC-CUBE4系デザインテンプレート続々リリース中

統計情報

総メンバー数は60,864名です
総投稿数は95,420件です

投稿数ランキング

1
seasoft
7332
2
AMUAMU
2712
3
nanasess
2038
4
468
2020
5
yuh
1612
6
umebius
1588
7
red
1399
8
h_tanaka
992
9
fukap
907
10
tsuji
863
11
shutta
835
12 ramrun 789
13
tao_s
783
14 karin 656
15 sumida 641
16
homan
633
17 DELIGHT 571
18
patapata
502
19
flealog
485
20 tonton 437


ネットショップの壺

EC-CUBEインテグレートパートナー

Copyright© EC-CUBE CO.,LTD. All Rights Reserved.