Erlaubte Sortierparameter für Verkaufsbericht filtern
authorG. Richardson <information@lx-office-hosting.de>
Mon, 18 Jun 2012 15:48:14 +0000 (17:48 +0200)
committerG. Richardson <information@lx-office-hosting.de>
Mon, 18 Jun 2012 15:48:14 +0000 (17:48 +0200)
Parameter nicht ungeprüft übergeben, aber Liste der erlauben Parameter muß
gepflegt werden.

SL/VK.pm

index 9cf8bed..55c46f2 100644 (file)
--- a/SL/VK.pm
+++ b/SL/VK.pm
@@ -77,8 +77,13 @@ sub invoice_transactions {
   # Bestandteile von Erzeugnissen herausfiltern
   $where .= " AND i.assemblyitem is not true ";
 
-  my $sortorder;
+  # filter allowed parameters for mainsort and subsort as passed by POST
+  my @databasefields = qw(description customername country partsgroup business salesman month);
+  my ($mainsort) = grep { /^$form->{mainsort}$/ } @databasefields;
+  my ($subsort) = grep { /^$form->{subsort}$/ } @databasefields;
+  die "illegal parameter for mainsort or subsort" unless $mainsort and $subsort;
 
+  my $sortorder;
   # sorting by month is a special case, we don't want to sort alphabetically by
   # month name, so we also extract a numerical month in the from YYYYMM to sort
   # by in case of month sorting
@@ -88,16 +93,15 @@ sub invoice_transactions {
   if ($form->{mainsort} eq 'month') {
     $sortorder .= "nummonth,"
   } else {
-    $sortorder .= $form->{mainsort} . ",";
+    $sortorder .= $mainsort . ",";
   };
   if ($form->{subsort} eq 'month') {
     $sortorder .= "nummonth,"
   } else {
-    $sortorder .= $form->{subsort} . ",";
+    $sortorder .= $subsort . ",";
   };
   $sortorder .= 'ar.transdate,ar.invnumber';  # Default sorting order after mainsort und subsort
 
-
   if ($form->{customer_id}) {
     $where .= " AND ar.customer_id = ?";
     push(@values, $form->{customer_id});