WebSVN – oidplus – Diff – /trunk/plugins/raPages/100_edit_contact_data/plugin.inc.php

                         if (!OIDplus::authUtils()::isRaLoggedIn($email) && !OIDplus::authUtils()::isAdminLoggedIn()) {
                                 die(json_encode(array("error" => 'Authentification error. Please log in as the RA to update its data.')));
+                        }
-                        $res = OIDplus::db()->query("select * from ".OIDPLUS_TABLENAME_PREFIX."ra where email = '".OIDplus::db()->real_escape_string($email)."'");
+                        $res = OIDplus::db()->query("select * from ".OIDPLUS_TABLENAME_PREFIX."ra where email = ?", array($email));
                         if (OIDplus::db()->num_rows($res) == 0) {
                                 die(json_encode(array("error" => 'RA does not exist')));
+                        }
                         OIDplus::logger()->log("RA($email)?/A?", "Changed RA '$email' contact data/details");
                         if (!OIDplus::db()->query("UPDATE ".OIDPLUS_TABLENAME_PREFIX."ra ".
                                 "SET ".
                                 "updated = now(), ".
+                                "ra_name = ?, ".
+                                "organization = ?, ".
+                                "office = ?, ".
+                                "personal_name = ?, ".
+                                "privacy = ?, ".
+                                "street = ?, ".
+                                "zip_town = ?, ".
+                                "country = ?, ".
+                                "phone = ?, ".
+                                "mobile = ?, ".
+                                "fax = ? ".
+                                "WHERE email = ?",
+                                array(
-                                "ra_name = '".OIDplus::db()->real_escape_string($_POST['ra_name'])."', ".
+                                        $_POST['ra_name'],
-                                "organization = '".OIDplus::db()->real_escape_string($_POST['organization'])."', ".
+                                        $_POST['organization'],
-                                "office = '".OIDplus::db()->real_escape_string($_POST['office'])."', ".
+                                        $_POST['office'],
-                                "personal_name = '".OIDplus::db()->real_escape_string($_POST['personal_name'])."', ".
+                                        $_POST['personal_name'],
-                                "privacy = ".OIDplus::db()->escape_bool($_POST['privacy']).", ".
+                                        $_POST['privacy'],
-                                "street = '".OIDplus::db()->real_escape_string($_POST['street'])."', ".
+                                        $_POST['street'],
-                                "zip_town = '".OIDplus::db()->real_escape_string($_POST['zip_town'])."', ".
+                                        $_POST['zip_town'],
-                                "country = '".OIDplus::db()->real_escape_string($_POST['country'])."', ".
+                                        $_POST['country'],
-                                "phone = '".OIDplus::db()->real_escape_string($_POST['phone'])."', ".
+                                        $_POST['phone'],
-                                "mobile = '".OIDplus::db()->real_escape_string($_POST['mobile'])."', ".
+                                        $_POST['mobile'],
-                                "fax = '".OIDplus::db()->real_escape_string($_POST['fax'])."' ".
+                                        $_POST['fax'],
-                                "WHERE email = '".OIDplus::db()->real_escape_string($email)."'"))
+                                        $email
+                                )
+                                ))
+                        {
                                 die(json_encode(array("error" => OIDplus::db()->error())));
+                        }
                         echo json_encode(array("status" => 0));
                                 $out['icon'] = 'img/error_big.png';
                                 $out['text'] .= '<p>You need to <a '.oidplus_link('oidplus:login').'>log in</a> as the requested RA <b>'.htmlentities($ra_email).'</b>.</p>';
                         } else {
                                 $out['text'] .= '<p>Your email address: <b>'.htmlentities($ra_email).'</b>';
-                                $res = OIDplus::db()->query("select * from ".OIDPLUS_TABLENAME_PREFIX."ra where email = '".OIDplus::db()->real_escape_string($ra_email)."'");
+                                $res = OIDplus::db()->query("select * from ".OIDPLUS_TABLENAME_PREFIX."ra where email = ?", array($ra_email));
                                 if (OIDplus::db()->num_rows($res) == 0) {
                                         $out['icon'] = 'img/error_big.png';
                                         $out['text'] = 'RA <b>'.htmlentities($ra_email).'</b> does not exist';
                                         return $out;
+                                }

Subversion Repositories oidplus

oidplus/trunk/plugins/raPages/100_edit_contact_data/plugin.inc.php – Rev 148 → 150