Changeset 14


Ignore:
Timestamp:
02/10/10 23:39:24 (8 years ago)
Author:
roby
Message:

sicurezza anti xss

Location:
trunk
Files:
2 edited

Legend:

Unmodified
Added
Removed
  • trunk/admin/modules/Elezioni/ele_gruppo.php

    r2 r14  
    6969        ."<td align=\"center\"><b>"._FUNZIONI."</b></td></tr>"; 
    7070        //-----------------------visualizza riga superiore per inserimento - 
    71         $cond=($tipo_cons==4 and $id_circ) ? "and id_circ='$id_circ'":""; 
    72         $res = mysql_query("SELECT * FROM ".$prefix."_ele_gruppo where id_cons='$id_cons' $cond ", $dbi); 
     71        $circo= $cons_circ==1 ? "and id_circ='$id_circ'":"";     
     72        $res = mysql_query("SELECT * FROM ".$prefix."_ele_gruppo where id_cons='$id_cons' $circo ", $dbi); 
    7373        $max = mysql_num_rows($res); 
    7474        $nuovo_gruppo=$max+1; 
     
    7676        ."<input type=\"hidden\" name=\"op\" value=\"gruppo\">"; 
    7777        if ($do=='modify') { 
    78         $resl = mysql_query("SELECT * FROM ".$prefix."_ele_gruppo where id_gruppo=$id_gruppo", $dbi); 
     78        $resl = mysql_query("SELECT * FROM ".$prefix."_ele_gruppo where id_gruppo='$id_gruppo'", $dbi); 
    7979        $gru=mysql_fetch_array($resl); 
    8080        $nuovo_gruppo=$gru['num_gruppo']; 
     
    8383        $gru['id_gruppo']='';$gru['descrizione']=''; 
    8484        echo "<input type=\"hidden\" name=\"do\" value=\"add\">"; 
    85         } 
     85        }        
     86 
    8687        //-----------------------fine visualizza riga superiore per inserimento - 
    8788        echo "<input type=\"hidden\" name=\"id_cons_gen\" value=\"$id_cons_gen\">" 
     
    101102                echo "<td><input type=\"submit\" name=\"add\" value=\""._ADD."\"></td>"; 
    102103        echo "</form>"; 
    103         $circo= $cons_circ==1 ? "and id_circ='$id_circ'":"";     
    104104                 
    105105                 
  • trunk/client/modules/Elezioni/gruppo.php

    r12 r14  
    415415                        $secontot=0; 
    416416                        $sevnutot=0; 
     417                      //////////////////////////////////////////////////////////////////// 
     418                      // sandro: carica i numeri di sezione dal DB - giugno 2009 
     419                      // caso: sezioni in collegi diversi non consecutive 
     420                        if($circo) { $secirco=" and t2.id_circ=$id_circ";} else $secirco="and t1.num_sez >= $minsez and t1.num_sez <= $offsetsez"; 
     421                                $numsezioni = $offsetsez-$ominsez; 
     422                                $res_numsez = mysql_query("SELECT t1.num_sez from ".$prefix."_ele_sezioni as t1, ".$prefix."_ele_sede as t2 where t1.id_cons=$id_cons and t1.id_sede=t2.id_sede $secirco order by t1.num_sez",$dbi); 
     423                                for ($z=1;$z<=($offsetsez-$ominsez);$z++) { 
     424                                        $res=mysql_fetch_row($res_numsez); 
     425                                        $ar[$z][0]=$res[0]; 
     426                                        $pos[$z]=$res[0]; 
     427                                } 
     428                        $minpos=min($pos); 
     429                        $maxpos=max($pos); 
     430                        //////////////////////////////////////////////////////////////////// 
    417431                        if ($res_voti) 
    418432                        while (list($num_circ,$desc_circ,$num_cand,$nome,$voti,$sevalidi,$senulli,$sebianchi,$secontestati,$sevonulli) = mysql_fetch_row($res_voti)){ 
    419                                 if (!isset($votitot[($num_circ-$ominsez)])) { 
    420                                         $votitot[($num_circ-$ominsez)]=0; 
     433                                if ($num_circ<$minpos or $num_circ>$maxpos) continue; 
     434                                        $z=array_search($num_circ, $pos);  
     435                                if (!isset($votitot[($z)])) { 
     436                                        $votitot[($z)]=0; 
    421437                                $sevaltot+=$sevalidi; 
    422438                                $senultot+=$senulli; 
     
    425441                                $sevnutot+=$sevonulli; 
    426442                                } 
    427                                 $votitot[($num_circ-$ominsez)]+=$voti; 
     443                                $votitot[($z)]+=$voti; 
    428444                                $voticompl+=$voti; 
    429445                        } 
     
    431447                        $piuvot=0; 
    432448                        if ($visvot!='cand') $piuvot=5; 
    433                         for ($z=1;$z<=($offsetsez-$ominsez);$z++) $ar[$z][0]=$ominsez+$z; 
    434  
    435                       //////////////////////////////////////////////////////////////////// 
    436                       // sandro: carica i numeri di sezione dal DB - giugno 2009 
    437                       // caso: sezioni in collegi diversi non consecutive 
    438                         if($circo) { 
    439                                 $numsezioni = $offsetsez-$ominsez; 
    440                                 $res_numsez = mysql_query("SELECT t1.num_sez from ".$prefix."_ele_sezioni as t1, ".$prefix."_ele_sede as t2                                     where t1.id_cons=$id_cons and t1.id_sede=t2.id_sede and t2.id_circ=$id_circ order by t1.num_sez",$dbi); 
    441                                 for ($z=1;$z<=($offsetsez-$ominsez);$z++) { 
    442                                         $res=mysql_fetch_row($res_numsez); 
    443                                         $ar[$z][0]=$res[0]; 
    444                                 } 
    445                         } 
    446                         //////////////////////////////////////////////////////////////////// 
     449 
    447450 
    448451 
     
    450453                        for ($y=$min;$y<=($offset+$piuvot);$y++) $ar[0][$y]="&nbsp;"; 
    451454                        for ($z=1;$z<=($offsetsez-$ominsez);$z++) 
    452                         for ($y=$min;$y<=($offset+$piuvot);$y++) $ar[$z][$y]="&nbsp;"; //inizializza le celle interne 
     455                                for ($y=$min;$y<=($offset+$piuvot);$y++) $ar[$z][$y]="&nbsp;"; //inizializza le celle interne 
    453456                        if ($res_voti) 
    454457                        while (list($num_circ,$desc_circ,$num_cand,$nome,$voti,$sevalidi,$senulli,$sebianchi,$secontestati,$sevonulli) = mysql_fetch_row($res_voti)){ 
    455458                                if ($num_cand>=$min and $num_cand<=$offset){ 
    456                                         if($num_circ>=$minsez and $num_circ <=$offsetsez){ 
     459                                        $z=array_search($num_circ, $pos);  
     460                                        if($num_circ>=$minpos and $num_circ <=$maxpos){ 
    457461                                                $ar[0][$num_cand]=$num_cand.") ".$nome; 
    458                                                 $ar[($num_circ-$ominsez)][0]=$num_circ; 
    459                                                 if ($desc_circ) $ar[($num_circ-$ominsez)][0].=") ".$desc_circ; 
     462                                                if ($desc_circ) $ar[($z)][0].=") ".$desc_circ; 
    460463                                                $percento=$voti; 
    461                                                 if ($perc=='true' and $votitot[($num_circ-$ominsez)])  
     464                                                if ($perc=='true' and $votitot[($z)])  
    462465                                                { 
    463                                                         $percento=$voti."<br /><span class=\"red\"><i>".number_format($voti*100/$votitot[($num_circ-$ominsez)],2)." %</i></span>"; 
     466                                                        $percento=$voti."<br /><span class=\"red\"><i>".number_format($voti*100/$votitot[($z)],2)." %</i></span>"; 
    464467                                                } 
    465  
    466                                                 $ar[($num_circ-$ominsez)][$num_cand]=$percento; 
     468                                                $ar[($z)][$num_cand]=$percento; 
    467469                                        } 
    468470                                        if (!isset($temp[$num_cand])) $temp[$num_cand]=0; 
    469471                                        $temp[$num_cand]+=$voti; 
     472                                         
    470473                                } 
    471474                                if ($visvot!='cand'){ 
     
    476479                                $ar[0][$posvoti+4]='<b>Voti Contestati</b>'; 
    477480                                $ar[0][$posvoti+5]='<b>Voti Nulli</b>'; 
    478                                 if (($offsetsez)>=$num_circ and $minsez<=$num_circ){  
     481                                if (($maxpos)>=$num_circ and $minpos<=$num_circ){  
    479482                                $posvoti++; 
    480                                 $ar[($num_circ-$ominsez)][$posvoti++]="<b>$sevalidi</b>"; 
    481                                 $ar[($num_circ-$ominsez)][$posvoti++]="<b>$senulli</b>"; 
    482                                 $ar[($num_circ-$ominsez)][$posvoti++]="<b>$sebianchi</b>"; 
    483                                 $ar[($num_circ-$ominsez)][$posvoti++]="<b>$secontestati</b>"; 
    484                                 $ar[($num_circ-$ominsez)][$posvoti]="<b>$sevonulli</b>";  
     483                                $ar[($z)][$posvoti++]="<b>$sevalidi</b>"; 
     484                                $ar[($z)][$posvoti++]="<b>$senulli</b>"; 
     485                                $ar[($z)][$posvoti++]="<b>$sebianchi</b>"; 
     486                                $ar[($z)][$posvoti++]="<b>$secontestati</b>"; 
     487                                $ar[($z)][$posvoti]="<b>$sevonulli</b>";  
    485488                                } 
    486489                                } 
Note: See TracChangeset for help on using the changeset viewer.