[mew-dist 28625] Re: msg-id:に変な文字があるときsmewがエラー終了

[Tomoyuki Murakami]

# SQLに詳しいわけではありませんが...

>>> On Wed, 17 Sep 2008 16:46:12 +0900 (JST),
>>>  KOIE Hidetaka (鯉江英隆) <hide at example.com> wrote:

hide> message-id: <20080813122201t'5_5b at example.com>
hide> というように「'」を含んでいるメイルがあり
hide> (こんな文字が入っていていいのかは別にして)
hide> SQL injectionになっていました。
hide>
hide> パッチを書いてみましたが、これでよいのか自信はありません。
hide> SQLにくわしい人おねがいします。

cmewの方ではplace-holder '?' を使った書き方になっている一方でsmew
はSQL直書きになっていて今一コードに統一感がないなと思いました。
cmewの方の書き方をすればxxquoteしなくても適切に処理されると思いま
す。（試してません）
-------------- next part --------------
テキスト形式以外の添付ファイルを保管しました...
ファイル名: 無し
型:         application/pgp-signature
サイズ:     305 バイト
説明:       無し
URL:        <http://www.mew.org/pipermail/mew-dist/attachments/20080917/009283d8/attachment.bin>