protection against XSS when register_globals is on and .htaccess has no effect
This commit is contained in:
Marc Delisle
@@ -24,6 +24,8 @@ $HeadURL: https://phpmyadmin.svn.sourceforge.net/svnroot/phpmyadmin/trunk/phpMyA
|
||||
- bug #1981043 [export] HTML in exports getting corrupted,
|
||||
thanks to Jason Judge - jasonjudge
|
||||
- bug #1936761 [interface] BINARY not treated as BLOB: update/delete issues
|
||||
- protection against XSS when register_globals is on and .htaccess has
|
||||
no effect, thanks to Tim Starling
|
||||
|
||||
2.11.6.0 (2008-04-29)
|
||||
- bug #1903724 [interface] Displaying of very large queries in error message
|
||||
|
||||
@@ -8,12 +8,8 @@
|
||||
* @version $Id$
|
||||
*/
|
||||
|
||||
/**
|
||||
* @todo replace by constant
|
||||
* $coming_from_common can be set from outside with register_globals on
|
||||
*/
|
||||
if (!isset($coming_from_common)) {
|
||||
exit;
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
if (function_exists('mcrypt_encrypt') || PMA_dl('mcrypt')) {
|
||||
|
||||
@@ -5,7 +5,9 @@
|
||||
*
|
||||
* @version $Id$
|
||||
*/
|
||||
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
* Loads the recode or iconv extensions if any of it is not loaded yet
|
||||
|
||||
@@ -7,6 +7,9 @@
|
||||
*
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
*
|
||||
|
||||
@@ -52,6 +52,11 @@ if (version_compare(phpversion(), '6', 'lt')) {
|
||||
@ini_set('magic_quotes_runtime', false);
|
||||
}
|
||||
|
||||
/**
|
||||
* for verification in all procedural scripts under libraries
|
||||
*/
|
||||
define('PHPMYADMIN', true);
|
||||
|
||||
/**
|
||||
* core functions
|
||||
*/
|
||||
@@ -730,9 +735,6 @@ if (! defined('PMA_MINIMUM_COMMON')) {
|
||||
// Gets the authentication library that fits the $cfg['Server'] settings
|
||||
// and run authentication
|
||||
|
||||
// (for a quick check of path disclosure in auth/cookies:)
|
||||
$coming_from_common = true;
|
||||
|
||||
// to allow HTTP or http
|
||||
$cfg['Server']['auth_type'] = strtolower($cfg['Server']['auth_type']);
|
||||
if (! file_exists('./libraries/auth/' . $cfg['Server']['auth_type'] . '.auth.lib.php')) {
|
||||
|
||||
@@ -5,6 +5,9 @@
|
||||
*
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
*
|
||||
|
||||
@@ -4,6 +4,9 @@
|
||||
*
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
* Gets some core libraries
|
||||
|
||||
@@ -34,6 +34,9 @@
|
||||
* @uses addslashes()
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
* requirements
|
||||
|
||||
@@ -4,6 +4,9 @@
|
||||
*
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
*
|
||||
|
||||
@@ -4,6 +4,9 @@
|
||||
*
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
* @todo Support seeing the "results" of the called procedure or
|
||||
|
||||
@@ -6,6 +6,9 @@
|
||||
*
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
*
|
||||
|
||||
@@ -3,6 +3,9 @@
|
||||
/**
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
* checks for DBG extension and trys to load if not loaded
|
||||
@@ -24,4 +27,4 @@ if ($GLOBALS['cfg']['DBG']['enable']) {
|
||||
$GLOBALS['DBG'] = true;
|
||||
}
|
||||
}
|
||||
?>
|
||||
?>
|
||||
|
||||
@@ -5,6 +5,9 @@
|
||||
*
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
*
|
||||
|
||||
@@ -5,6 +5,9 @@
|
||||
*
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
// MySQL client API
|
||||
if (!defined('PMA_MYSQL_CLIENT_API')) {
|
||||
|
||||
@@ -5,6 +5,9 @@
|
||||
*
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
// loic1: autocomplete feature of IE kills the "onchange" event handler and it
|
||||
// must be replaced by the "onpropertychange" one in this case
|
||||
|
||||
@@ -5,6 +5,9 @@
|
||||
*
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
*
|
||||
|
||||
@@ -5,6 +5,9 @@
|
||||
*
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
*
|
||||
|
||||
@@ -4,6 +4,9 @@
|
||||
*
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
*
|
||||
|
||||
@@ -4,6 +4,9 @@
|
||||
*
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
*
|
||||
|
||||
@@ -5,6 +5,9 @@
|
||||
*
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
* Sorts available languages by their true english names
|
||||
|
||||
@@ -9,6 +9,9 @@
|
||||
*
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
*
|
||||
|
||||
@@ -3,6 +3,9 @@
|
||||
/**
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
* Set of functions used to build CSV dumps of tables
|
||||
|
||||
@@ -5,6 +5,9 @@
|
||||
*
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
*
|
||||
|
||||
@@ -5,6 +5,9 @@
|
||||
*
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
*
|
||||
|
||||
@@ -5,6 +5,9 @@
|
||||
*
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
*
|
||||
|
||||
@@ -5,6 +5,9 @@
|
||||
*
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
*
|
||||
|
||||
@@ -5,6 +5,9 @@
|
||||
*
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
*
|
||||
|
||||
@@ -5,6 +5,9 @@
|
||||
*
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
*
|
||||
|
||||
@@ -5,6 +5,9 @@
|
||||
*
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
*
|
||||
|
||||
@@ -5,6 +5,9 @@
|
||||
*
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
*
|
||||
|
||||
@@ -5,6 +5,9 @@
|
||||
*
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
*
|
||||
|
||||
@@ -5,6 +5,9 @@
|
||||
*
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
*
|
||||
|
||||
@@ -5,6 +5,9 @@
|
||||
*
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
*
|
||||
|
||||
@@ -1,7 +1,7 @@
|
||||
<?php
|
||||
/* vim: set expandtab sw=4 ts=4 sts=4: */
|
||||
/**
|
||||
* finishs HTML output
|
||||
* finishes HTML output
|
||||
*
|
||||
* updates javascript variables in index.php for coorect working with querywindow
|
||||
* and navigation frame refreshing
|
||||
@@ -44,6 +44,9 @@
|
||||
* @uses file_exists()
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
* for PMA_setHistory()
|
||||
|
||||
@@ -4,6 +4,9 @@
|
||||
*
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
*
|
||||
|
||||
@@ -8,6 +8,9 @@
|
||||
*
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
* copy values from one array to another, usally from a superglobal into $GLOBALS
|
||||
|
||||
@@ -4,6 +4,9 @@
|
||||
*
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
*
|
||||
|
||||
@@ -4,6 +4,9 @@
|
||||
*
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
*
|
||||
|
||||
@@ -4,6 +4,9 @@
|
||||
*
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
*
|
||||
|
||||
@@ -4,6 +4,9 @@
|
||||
*
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
* Gets a core script and starts output buffering work
|
||||
|
||||
@@ -4,6 +4,9 @@
|
||||
*
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
*
|
||||
|
||||
@@ -5,6 +5,9 @@
|
||||
*
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
* We need to know something about user
|
||||
|
||||
@@ -6,6 +6,9 @@
|
||||
* @todo add an option for handling NULL values
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
*
|
||||
|
||||
@@ -5,6 +5,9 @@
|
||||
*
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
require_once './libraries/relation.lib.php';
|
||||
$cfgRelation = PMA_getRelationsParam();
|
||||
|
||||
@@ -5,6 +5,9 @@
|
||||
*
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
*
|
||||
|
||||
@@ -5,6 +5,9 @@
|
||||
*
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
*
|
||||
|
||||
@@ -11,6 +11,9 @@
|
||||
*
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
* Gets the php internal encoding codes and sets the available encoding
|
||||
|
||||
@@ -5,6 +5,9 @@
|
||||
*
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
* lang detection is done here
|
||||
|
||||
@@ -4,6 +4,9 @@
|
||||
*
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
* Initialization
|
||||
|
||||
@@ -4,6 +4,9 @@
|
||||
*
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
* Prepares the work and runs some other scripts if required
|
||||
|
||||
@@ -4,6 +4,9 @@
|
||||
*
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
*
|
||||
|
||||
@@ -6,6 +6,10 @@
|
||||
* @version $Id$
|
||||
*/
|
||||
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
*
|
||||
*/
|
||||
|
||||
@@ -5,6 +5,9 @@
|
||||
*
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
*
|
||||
|
||||
@@ -4,6 +4,9 @@
|
||||
*
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
*
|
||||
|
||||
@@ -5,6 +5,9 @@
|
||||
*
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
*
|
||||
|
||||
@@ -5,6 +5,9 @@
|
||||
*
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
*
|
||||
|
||||
@@ -5,9 +5,12 @@
|
||||
*
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
* trys to find the language to use
|
||||
* tries to find the language to use
|
||||
*
|
||||
* @uses $GLOBALS['cfg']['lang']
|
||||
* @uses $GLOBALS['cfg']['DefaultLang']
|
||||
|
||||
@@ -9,6 +9,9 @@
|
||||
* @uses $userlink
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
* Gets some core libraries
|
||||
|
||||
@@ -4,6 +4,9 @@
|
||||
*
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
* Check parameters
|
||||
|
||||
@@ -13,6 +13,9 @@
|
||||
* @uses version_compare()
|
||||
* @uses PHP_VERSION
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
// verify if PHP supports session, die if it does not
|
||||
|
||||
|
||||
@@ -10,6 +10,9 @@
|
||||
* @usedby tbl_structure.php
|
||||
* @usedby querywindow.php
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
*
|
||||
|
||||
@@ -21,6 +21,9 @@
|
||||
*
|
||||
* @version$Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
* @global array MySQL function names
|
||||
|
||||
@@ -29,6 +29,9 @@
|
||||
*
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
|
||||
/**
|
||||
|
||||
@@ -27,6 +27,9 @@
|
||||
*
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
@include_once 'SOAP/Client.php';
|
||||
|
||||
|
||||
@@ -29,6 +29,9 @@
|
||||
*
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
* We need the PEAR libraries, so do a minimum version check first
|
||||
|
||||
@@ -22,6 +22,9 @@
|
||||
* @uses defined()
|
||||
* @todo a .lib filename should not have code in main(), split or rename file
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/* Try to load mbstring, unless we're using buggy php version */
|
||||
if (PMA_PHP_INT_VERSION != 40203) {
|
||||
|
||||
@@ -4,6 +4,9 @@
|
||||
*
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
* Gets some core libraries
|
||||
|
||||
@@ -4,6 +4,9 @@
|
||||
*
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
*
|
||||
|
||||
@@ -4,6 +4,9 @@
|
||||
*
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
* Check parameters
|
||||
|
||||
@@ -4,6 +4,9 @@
|
||||
*
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
* Check parameters
|
||||
|
||||
@@ -29,6 +29,9 @@
|
||||
* @uses PMA_NO_VARIABLES_IMPORT
|
||||
* @uses PMA_sqlAddslashes()
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
/**
|
||||
* do not import request variable into global scope
|
||||
|
||||
@@ -4,6 +4,9 @@
|
||||
*
|
||||
* @version $Id$
|
||||
*/
|
||||
if (! defined('PHPMYADMIN')) {
|
||||
exit;
|
||||
}
|
||||
|
||||
$url_query .= '&goto=tbl_structure.php';
|
||||
|
||||
|
||||
Reference in New Issue
Block a user