WebSVN – personal-webbase – Diff – /trunk/includes/functions.inc.php

   $license = '';
   $deaktiviere_zugangspruefung = 0;
   if ($titelzeile_modul == '') $titelzeile_modul = $modul;
-  if (file_exists('modules/'.$titelzeile_modul.'/var.inc.php'))
+  if (file_exists('modules/'.wb_dir_escape($titelzeile_modul).'/var.inc.php'))
+  {
-    include('modules/'.$titelzeile_modul.'/var.inc.php');
+    include('modules/'.wb_dir_escape($titelzeile_modul).'/var.inc.php');
     $titel = $modulueberschrift;
+  }
-  if (file_exists('modules/'.$titelzeile_modul.'/images/menu/32.png'))
+  if (file_exists('modules/'.wb_dir_escape($titelzeile_modul).'/images/menu/32.png'))
-    $g = 'modules/'.$titelzeile_modul.'/images/menu/32.png';
+    $g = 'modules/'.wb_dir_escape($titelzeile_modul).'/images/menu/32.png';
-  else if (file_exists('modules/'.$titelzeile_modul.'/images/menu/32.gif'))
+  else if (file_exists('modules/'.wb_dir_escape($titelzeile_modul).'/images/menu/32.gif'))
-    $g = 'modules/'.$titelzeile_modul.'/images/menu/32.gif';
+    $g = 'modules/'.wb_dir_escape($titelzeile_modul).'/images/menu/32.gif';
   else
     $g = 'design/spacer.gif';
   return "javascript:oop('".$modul."', '".$seite."', '".my_htmlentities($titel)."', '".$g."');";
+}
   $durchlauf = 0;
   for ($i=1; isset($ary[$i]['id']); $i++)
+  {
     $durchlauf++;
-    if (file_exists('modules/'.$modul.'/menueeintrag.inc.php'))
+    if (file_exists('modules/'.wb_dir_escape($modul).'/menueeintrag.inc.php'))
-      include('modules/'.$modul.'/menueeintrag.inc.php');
+      include('modules/'.wb_dir_escape($modul).'/menueeintrag.inc.php');
     echo "\n";
+  }
   return $durchlauf;
   $durchlauf = 0;
   for ($i=1; isset($ary[$i]['id']); $i++)
+  {
     $durchlauf++;
-    if (file_exists('modules/'.$modul.'/menueeintrag.inc.php'))
+    if (file_exists('modules/'.wb_dir_escape($modul).'/menueeintrag.inc.php'))
-      include('modules/'.$modul.'/menueeintrag.inc.php');
+      include('modules/'.wb_dir_escape($modul).'/menueeintrag.inc.php');
+  }
   return $durchlauf;
+}
   return '<tr>
   <td colspan="5"><img src="design/spacer.gif" alt="" width="1" height="14"></td>
 </tr>';
+}
+function wb_dir_escape($s) {
+        $s = str_replace('..', '__', $s);
+        $s = str_replace('~', '_', $s);
+        $s = str_replace('/', '_', $s);
+        $s = str_replace('\\', '_', $s);
+        $s = str_replace(chr(0), '_', $s);
+        return $s;
-?>
+}

Subversion Repositories personal-webbase

personal-webbase/trunk/includes/functions.inc.php – Rev 7 → 8