Changeset 14


Ignore:
Timestamp:
Feb 10, 2010, 11:39:24 PM (14 years ago)
Author:
roby
Message:

sicurezza anti xss

Location:
trunk
Files:
2 edited

Legend:

Unmodified
Added
Removed

  • trunk/admin/modules/Elezioni/ele_gruppo.php

    r2 r14  
    6969        ."<td align=\"center\"><b>"._FUNZIONI."</b></td></tr>";
    7070        //-----------------------visualizza riga superiore per inserimento -
    71         $cond=($tipo_cons==4 and $id_circ) ? "and id_circ='$id_circ'":"";
    72         $res = mysql_query("SELECT * FROM ".$prefix."_ele_gruppo where id_cons='$id_cons' $cond ", $dbi);
     71        $circo= $cons_circ==1 ? "and id_circ='$id_circ'":"";   
     72        $res = mysql_query("SELECT * FROM ".$prefix."_ele_gruppo where id_cons='$id_cons' $circo ", $dbi);
    7373        $max = mysql_num_rows($res);
    7474        $nuovo_gruppo=$max+1;
     
    7676        ."<input type=\"hidden\" name=\"op\" value=\"gruppo\">";
    7777        if ($do=='modify') {
    78         $resl = mysql_query("SELECT * FROM ".$prefix."_ele_gruppo where id_gruppo=$id_gruppo", $dbi);
     78        $resl = mysql_query("SELECT * FROM ".$prefix."_ele_gruppo where id_gruppo='$id_gruppo'", $dbi);
    7979        $gru=mysql_fetch_array($resl);
    8080        $nuovo_gruppo=$gru['num_gruppo'];
     
    8383        $gru['id_gruppo']='';$gru['descrizione']='';
    8484        echo "<input type=\"hidden\" name=\"do\" value=\"add\">";
    85         }
     85        }       
     86
    8687        //-----------------------fine visualizza riga superiore per inserimento -
    8788        echo "<input type=\"hidden\" name=\"id_cons_gen\" value=\"$id_cons_gen\">"
     
    101102                echo "<td><input type=\"submit\" name=\"add\" value=\""._ADD."\"></td>";
    102103        echo "</form>";
    103         $circo= $cons_circ==1 ? "and id_circ='$id_circ'":"";   
    104104               
    105105               

  • trunk/client/modules/Elezioni/gruppo.php

    r12 r14  
    415415                        $secontot=0;
    416416                        $sevnutot=0;
     417                      ////////////////////////////////////////////////////////////////////
     418                      // sandro: carica i numeri di sezione dal DB - giugno 2009
     419                      // caso: sezioni in collegi diversi non consecutive
     420                        if($circo) { $secirco=" and t2.id_circ=$id_circ";} else $secirco="and t1.num_sez >= $minsez and t1.num_sez <= $offsetsez";
     421                                $numsezioni = $offsetsez-$ominsez;
     422                                $res_numsez = mysql_query("SELECT t1.num_sez from ".$prefix."_ele_sezioni as t1, ".$prefix."_ele_sede as t2 where t1.id_cons=$id_cons and t1.id_sede=t2.id_sede $secirco order by t1.num_sez",$dbi);
     423                                for ($z=1;$z<=($offsetsez-$ominsez);$z++) {
     424                                        $res=mysql_fetch_row($res_numsez);
     425                                        $ar[$z][0]=$res[0];
     426                                        $pos[$z]=$res[0];
     427                                }
     428                        $minpos=min($pos);
     429                        $maxpos=max($pos);
     430                        ////////////////////////////////////////////////////////////////////
    417431                        if ($res_voti)
    418432                        while (list($num_circ,$desc_circ,$num_cand,$nome,$voti,$sevalidi,$senulli,$sebianchi,$secontestati,$sevonulli) = mysql_fetch_row($res_voti)){
    419                                 if (!isset($votitot[($num_circ-$ominsez)])) {
    420                                         $votitot[($num_circ-$ominsez)]=0;
     433                                if ($num_circ<$minpos or $num_circ>$maxpos) continue;
     434                                        $z=array_search($num_circ, $pos);
     435                                if (!isset($votitot[($z)])) {
     436                                        $votitot[($z)]=0;
    421437                                $sevaltot+=$sevalidi;
    422438                                $senultot+=$senulli;
     
    425441                                $sevnutot+=$sevonulli;
    426442                                }
    427                                 $votitot[($num_circ-$ominsez)]+=$voti;
     443                                $votitot[($z)]+=$voti;
    428444                                $voticompl+=$voti;
    429445                        }
     
    431447                        $piuvot=0;
    432448                        if ($visvot!='cand') $piuvot=5;
    433                         for ($z=1;$z<=($offsetsez-$ominsez);$z++) $ar[$z][0]=$ominsez+$z;
    434 
    435                       ////////////////////////////////////////////////////////////////////
    436                       // sandro: carica i numeri di sezione dal DB - giugno 2009
    437                       // caso: sezioni in collegi diversi non consecutive
    438                         if($circo) {
    439                                 $numsezioni = $offsetsez-$ominsez;
    440                                 $res_numsez = mysql_query("SELECT t1.num_sez from ".$prefix."_ele_sezioni as t1, ".$prefix."_ele_sede as t2                                     where t1.id_cons=$id_cons and t1.id_sede=t2.id_sede and t2.id_circ=$id_circ order by t1.num_sez",$dbi);
    441                                 for ($z=1;$z<=($offsetsez-$ominsez);$z++) {
    442                                         $res=mysql_fetch_row($res_numsez);
    443                                         $ar[$z][0]=$res[0];
    444                                 }
    445                         }
    446                         ////////////////////////////////////////////////////////////////////
     449
    447450
    448451
     
    450453                        for ($y=$min;$y<=($offset+$piuvot);$y++) $ar[0][$y]="&nbsp;";
    451454                        for ($z=1;$z<=($offsetsez-$ominsez);$z++)
    452                         for ($y=$min;$y<=($offset+$piuvot);$y++) $ar[$z][$y]="&nbsp;"; //inizializza le celle interne
     455                                for ($y=$min;$y<=($offset+$piuvot);$y++) $ar[$z][$y]="&nbsp;"; //inizializza le celle interne
    453456                        if ($res_voti)
    454457                        while (list($num_circ,$desc_circ,$num_cand,$nome,$voti,$sevalidi,$senulli,$sebianchi,$secontestati,$sevonulli) = mysql_fetch_row($res_voti)){
    455458                                if ($num_cand>=$min and $num_cand<=$offset){
    456                                         if($num_circ>=$minsez and $num_circ <=$offsetsez){
     459                                        $z=array_search($num_circ, $pos);
     460                                        if($num_circ>=$minpos and $num_circ <=$maxpos){
    457461                                                $ar[0][$num_cand]=$num_cand.") ".$nome;
    458                                                 $ar[($num_circ-$ominsez)][0]=$num_circ;
    459                                                 if ($desc_circ) $ar[($num_circ-$ominsez)][0].=") ".$desc_circ;
     462                                                if ($desc_circ) $ar[($z)][0].=") ".$desc_circ;
    460463                                                $percento=$voti;
    461                                                 if ($perc=='true' and $votitot[($num_circ-$ominsez)])
     464                                                if ($perc=='true' and $votitot[($z)])
    462465                                                {
    463                                                         $percento=$voti."<br /><span class=\"red\"><i>".number_format($voti*100/$votitot[($num_circ-$ominsez)],2)." %</i></span>";
     466                                                        $percento=$voti."<br /><span class=\"red\"><i>".number_format($voti*100/$votitot[($z)],2)." %</i></span>";
    464467                                                }
    465 
    466                                                 $ar[($num_circ-$ominsez)][$num_cand]=$percento;
     468                                                $ar[($z)][$num_cand]=$percento;
    467469                                        }
    468470                                        if (!isset($temp[$num_cand])) $temp[$num_cand]=0;
    469471                                        $temp[$num_cand]+=$voti;
     472                                       
    470473                                }
    471474                                if ($visvot!='cand'){
     
    476479                                $ar[0][$posvoti+4]='<b>Voti Contestati</b>';
    477480                                $ar[0][$posvoti+5]='<b>Voti Nulli</b>';
    478                                 if (($offsetsez)>=$num_circ and $minsez<=$num_circ){
     481                                if (($maxpos)>=$num_circ and $minpos<=$num_circ){
    479482                                $posvoti++;
    480                                 $ar[($num_circ-$ominsez)][$posvoti++]="<b>$sevalidi</b>";
    481                                 $ar[($num_circ-$ominsez)][$posvoti++]="<b>$senulli</b>";
    482                                 $ar[($num_circ-$ominsez)][$posvoti++]="<b>$sebianchi</b>";
    483                                 $ar[($num_circ-$ominsez)][$posvoti++]="<b>$secontestati</b>";
    484                                 $ar[($num_circ-$ominsez)][$posvoti]="<b>$sevonulli</b>";
     483                                $ar[($z)][$posvoti++]="<b>$sevalidi</b>";
     484                                $ar[($z)][$posvoti++]="<b>$senulli</b>";
     485                                $ar[($z)][$posvoti++]="<b>$sebianchi</b>";
     486                                $ar[($z)][$posvoti++]="<b>$secontestati</b>";
     487                                $ar[($z)][$posvoti]="<b>$sevonulli</b>";
    485488                                }
    486489                                }
Note: See TracChangeset for help on using the changeset viewer.