Fix bug #1354
authorMartin Kutschker <martin.t.kutschker@blackbox.net>
Fri, 9 Dec 2005 20:52:43 +0000 (20:52 +0000)
committerMartin Kutschker <martin.t.kutschker@blackbox.net>
Fri, 9 Dec 2005 20:52:43 +0000 (20:52 +0000)
git-svn-id: https://svn.typo3.org/TYPO3v4/Core/trunk@900 709f56b5-9817-0410-a4d7-c38de5d9e867

ChangeLog
t3lib/class.t3lib_db.php

index 69a9d87..e132ab0 100755 (executable)
--- a/ChangeLog
+++ b/ChangeLog
@@ -1,3 +1,8 @@
+
+2005-12-09  Martin Kutschker  <martin.t.kutschker@blackbox.net>
+
+       * Fixed bug #1354:: Use mysql_real_escape_string() instead of addslashes() in t3lib_db to fix a security problem in t3lib->quoteStr() when magic_quotes_sybase = on
+
 2005-12-03  Dmitry Dulepov  <typo3@fm-world.ru>
 
        * Added $BACK_PATH to $error_doc in t3lib_div::TCEmain->printLogErrorMessages() to work properly if current script runs outisde of ./typo3 directory
index dff2c15..7a19800 100755 (executable)
@@ -537,7 +537,7 @@ class t3lib_DB {
         * @see quoteStr()
         */
        function fullQuoteStr($str, $table)     {
-               return '\''.addslashes($str).'\'';
+               return '\''.mysql_real_escape_string($str, $this->link).'\'';
        }
 
        /**
@@ -553,7 +553,7 @@ class t3lib_DB {
         * @see quoteStr()
         */
        function quoteStr($str, $table) {
-               return addslashes($str);
+               return mysql_real_escape_string($str, $this->link);
        }
 
        /**