Changeset 1076

Show
Ignore:
Timestamp:
05/10/2008 08:10:56 AM (22 months ago)
Author:
DotMG
Message:

refs #1 Comment#13

  • Replaced $q by $qs where $_POST['q'] is used for SQL query (sanitized for SQL)
  • replaced $q by $qx where $_POST['q'] is echoed in XHTML output (sanitized for XHTML)
  • added DocBlock.
Files:
1 modified

Legend:

Unmodified
Added
Removed

  • trunk/handlers/referrers/referrers.php

    r1073 r1076  
    1515 * @author              {@link http://wikkawiki.org/DarTar Dario Taraborelli} - code cleanup, search/filter functionality added. 
    1616 * @author              {@link http://wikkawiki.org/JavaWoman JavaWoman} - more code cleanup, accessibility, integration with referrers_sites 
     17 * @uses                Config::$referrers_purge_time 
     18 * @uses                Config::$wakka_name 
     19 * @uses                Wakka::FormClose() 
     20 * @uses                Wakka::FormOpen() 
     21 * @uses                Wakka::GetHandler() 
     22 * @uses                Wakka::GetPageTag() 
     23 * @uses                Wakka::GetUser() 
     24 * @uses                Wakka::Href() 
     25 * @uses                Wakka::htmlspecialchars_ent() 
     26 * @uses                Wakka::IsAdmin() 
     27 * @uses                Wakka::LoadAll() 
     28 * @uses                Wakka::LoadSingle() 
     29 * @uses                Wakka::makeId() 
     30 * 
    1731 * @since               Wikka 1.1.7 
    1832 * 
     
    3246 *                              - turn list into form with checkboxes to allow mass blacklisting 
    3347 * 
    34  * @input               string  $q  optional: string used to filter the referrers; 
     48 * @input               string  $qs  optional: string used to filter the referrers; 
    3549 *                              default: NULL; 
    3650 *                              the default can be overridden by providing a POST parameter 'q' 
    37  * @input               integer $qo optional: determines the kind of search to be performed for string $q: 
     51 * @input               integer $qo optional: determines the kind of search to be performed for string $qs: 
    3852 *                              1: search for all referrers containing a given string 
    3953 *                              0: search for all referrers not containing a given string 
     
    139153// initialize parameters 
    140154 
    141 $q = NULL;                                                              # search string 
     155$qs = NULL;                                                             # search string sanitized for SQL query 
     156$qx = '';                                                               # search string sanitized for XHTML 
    142157$qo = 1;                                                                # search string option 
    143158$h = HITS_DEFAULT;                                              # hits number 
     
    247262        if ('' != $tq) 
    248263        { 
    249                 $q = mysql_real_escape_string($tq); 
     264                $qs = mysql_real_escape_string($tq); 
     265                $qx = $this->htmlspecialchars_ent($tq); 
    250266                if (isset($_POST['qo'])) 
    251267                { 
     
    342358                } 
    343359                $query .= ' GROUP BY host '; 
    344                 if (isset($q)) 
    345                 { 
    346                         $query .= ' HAVING host '.$string_option." '%".$q."%'";                 # filter by string (derived column so we use HAVING) 
     360                if (isset($qs)) 
     361                { 
     362                        $query .= ' HAVING host '.$string_option." '%".$qs."%'";                        # filter by string (derived column so we use HAVING) 
    347363                } 
    348364                if ($hits_option != HITS_MIN_OPTION || $h != 1) 
     
    361377                        $query .= " WHERE page_tag = '".mysql_real_escape_string($tag)."'"; 
    362378                } 
    363                 if (isset($q)) 
     379                if (isset($qs)) 
    364380                { 
    365381                        $query .= (!strpos($query,'WHERE')) ? ' WHERE' : ' AND'; 
    366                         $query .= ' referrer '.$string_option." '%".$q."%'";                    # filter by string 
     382                        $query .= ' referrer '.$string_option." '%".$qs."%'";                   # filter by string 
    367383                } 
    368384                #if ($days != $max_days) 
     
    473489        $form .= '</select> '."\n"; 
    474490        $form .= '<label for="q">'.FORM_URL_STRING_LABEL.'</label> '."\n"; 
    475         $form .= '<input type ="text" name="q" id="q" title="'.FORM_URL_STRING_TITLE.'" size="10" maxlength="50" value="'.$q.'" />'; 
     491        $form .= '<input type ="text" name="q" id="q" title="'.FORM_URL_STRING_TITLE.'" size="10" maxlength="50" value="'.$qx.'" />'; 
    476492 
    477493        $form .= '<br />'."\n";