fanbinit/rhymix

mirror of https://github.com/Lastorder-DC/rhymix.git synced 2026-01-10 04:03:01 +09:00

Author	SHA1	Message	Date
Kijin Sung	3484b2bb48	Fix 'security violation' error when no file is uploaded	2018-10-10 18:16:57 +09:00
Kijin Sung	c3f1e24b02	Ensure more consistent operation of security checks - 수상한 파일이 업로드되었을 때 isSuccessInit = false로 지정 - isSuccessInit = false인 경우 무조건 에러메시지 출력 (xpressengine/xe-core#2304) - 보안정책 관련 에러메시지는 msg_security_violation으로 통일	2018-10-10 16:27:23 +09:00
Kijin Sung	c54fa8dab1	Use escape more consistently 여기저기 htmlspecialchars가 들어 있는 것을 escape로 통일	2018-10-10 15:07:51 +09:00
Kijin Sung	6abd345dcf	Fix autoescape problems - 삼항식 사용시 autoescape 우선순위가 꼬이는 문제 수정 - $lang 변수는 autoescape하지 않도록 변경 - ENT_COMPAT을 ENT_QUOTES로 변경 (자바스크립트에서 사용시 '홑따옴표' 이탈 방지)	2018-10-10 14:43:53 +09:00
conory	33e44b8708	서브쿼리시 Warning: Invalid argument supplied for foreach() 오류 수정	2018-10-08 12:31:23 +09:00
conory	7764d88b82	executeQuery의 $arg_columns에서 별표(*)를 사용할 수 있도록 수정	2018-10-06 19:57:51 +09:00
Kijin Sung	a3b67b2c7f	Merge branch 'pr/js-cookie' into develop	2018-10-04 11:56:41 +09:00
Kijin Sung	71e5bdb354	Add js-cookie library	2018-10-02 23:20:31 +09:00
bnu	71651c0542	검색엔진 수집이 불필요한 페이지에 대한 robots 메타 태그 추가 xpressengine/xe-core#2293 patch by @bnu	2018-10-02 22:50:05 +09:00
Kijin Sung	19331e6746	Additional XSS checks #1088	2018-09-18 13:27:55 +09:00
Kijin Sung	e03ccbd7a9	Also filter XML and HTML file uploads - Detect possible XML (including SVG) by actual content, not extension - Check large files in overlapping chunks to reduce memory usage - Check XML files for external entities - Check HTML files for SSI and PHP code	2018-09-18 02:45:48 +09:00
Kijin Sung	60d390f52e	Initial mitigations for #1088 #1089	2018-09-17 00:48:47 +09:00
conory	6d081b9fec	XML쿼리에서 CAST(regdate as DATE) 와 같은 함수 사용시 발생하는 오류 수정 datatype도 escape되는 바람에 발생된 문제로, 우선 대문자에 한하여 escape 되지 않도록 수정하였습니다. 주석에 떡하니 된다고 해놓고 실제로는...	2018-09-15 00:58:50 +09:00
Kijin Sung	9b6e88bc33	Add try...catch to trigger functions	2018-09-06 19:44:25 +09:00
Kijin Sung	b048200a30	Allow multiple selection of display debug types	2018-09-06 17:00:50 +09:00
Kijin Sung	4d5401ef89	Merge branch 'develop' into pr/exception	2018-09-06 10:45:59 +09:00
Kijin Sung	10c8d11785	Add FeatureDisabled and SecurityViolation exception classes	2018-09-06 10:00:47 +09:00
Kijin Sung	5b7ce90a3d	Also catch exceptions in init() method of module instances	2018-09-06 00:19:27 +09:00
Kijin Sung	74b07cb5c4	Remove unnecessary parentheses in MySQL error handler	2018-09-03 15:48:02 +09:00
Kijin Sung	f6fa7493f6	Catch Rhymix\Framework\Exception in module act and triggers	2018-08-26 23:46:13 +09:00
conory	9e59a6d839	페이지 편집 페이지에서 '모듈 설정 화면' 설정과는 상관없이 무조건 사용자 레이아웃 적용 레이아웃마다 너비가 모두 다르므로 관리자 레이아웃 적용시 정확도가 엄청 떨어짐	2018-08-14 15:20:00 +09:00
Kijin Sung	6f447df66c	Add option to view module config screen in admin layout 모듈 설정 화면을 관리자 레이아웃으로 보는 기능을 옵션으로 만들어 복원함 최근 수정된 관리자 레이아웃 디자인을 여기에도 적용	2018-08-14 12:41:30 +09:00
Kijin Sung	4ca3bdccc6	Display module settings in own layout Partially revert `8d718c0`	2018-08-14 11:11:58 +09:00
conory	8d718c0ae8	mid=board&act=dispBoardAdminBoardInfo등 모듈 관리자페이지에서 디자인이 깨지는 문제 수정	2018-08-08 11:56:46 +09:00
Kijin Sung	9e08bd40ac	Merge pull request #1053 from rhymix/pr/css-unload-minimal .btn 및 .message 클래스의 CSS 속성을 제거하는 옵션 제공 #950	2018-08-06 16:39:48 +09:00
Kijin Sung	a49f2f5f06	Change Context::isAlwaysSSL() to config('session.use_ssl_cookies') - Main session cookie is httpOnly if use_ssl is true - SSO cookie is always httpOnly	2018-08-06 01:23:22 +09:00
Kijin Sung	2c9bb88a14	Merge branch 'develop' into pr/1051	2018-08-06 01:08:51 +09:00
Kijin Sung	637e4f9e46	Move admin layout assets to admin layout template files @conory	2018-08-05 19:19:30 +09:00
Kijin Sung	c176be9c9f	Add an option to disable XE styles for .btn and .message To disable XE styles for .btn, .btn-group, and .btnArea: define('DISABLE_XE_BTN_STYLES', true); To disable XE styles for .message: define('DISABLE_XE_MSG_STYLES', true); This is a limited version of XE's __DISABLE_DEFAULT_CSS__ constant. Other styles and default CSS/JS resources are not affected. DO NOT UNLOAD DEFAULT CSS/JS RESOURCES.	2018-08-04 23:20:45 +09:00
Kijin Sung	a489012d6d	Remove unnecessary mobile.css 해당 파일의 내용은 rhymix.less와 100% 중복되므로 별도 로딩할 필요가 없음	2018-08-04 23:18:29 +09:00
Kijin Sung	f8c42cc10b	Fix #1049 disappearing zero values in extravar	2018-08-04 21:08:03 +09:00
Kijin Sung	8db2ac16c7	Revert "basic files의 로드를 막을 수 있도록 Context::unloadBasicFiles() 추가" This reverts commit `35b73eec0b`.	2018-08-04 20:56:41 +09:00
Kijin Sung	867d6930cf	Revert "`35b73eec0b` 보완" This reverts commit `30e0a5c583`.	2018-08-04 20:56:34 +09:00
Kijin Sung	f12cf74dda	Revert "다른 프레임워크와 css 충돌을 피하기 위해 rhymix.less의 class/id 이름에 prefix 처리" This reverts commit `b1cb1f3f34`.	2018-08-04 20:56:24 +09:00
conory	b1cb1f3f34	다른 프레임워크와 css 충돌을 피하기 위해 rhymix.less의 class/id 이름에 prefix 처리 변경전의 xe.less 파일도 rhymix.less와 함께 load 하여 호환정 유지 CSS 충돌 예) bootstrap의 .btn 사용 예) bootstrap 사용시엔 {Context::unloadBasicFiles('xe')}으로 unload 시키면 문제없음	2018-08-03 19:45:30 +09:00
conory	30e0a5c583	`35b73eec0b` 보완 파일이름으로 unload 할 수 없도록 변경 (호환성 파괴 위험성이 크므로)	2018-08-03 12:32:42 +09:00
Min-Soo Kim	25d2e4892a	Revert "Example of the cookie option" This reverts commit `93a35c251b`.	2018-08-02 00:35:52 +09:00
Min-Soo Kim	93a35c251b	Example of the cookie option	2018-08-02 00:35:27 +09:00
Min-Soo Kim	30fd0c428c	Improve cookie security; Secure flag SSL 항상 사용 옵션인 경우 쿠키도 이에 맞추어 SSL 인 경우에만 사용되도록 secure flag 를 추가합니다. 선택적 SSL 인 경우 SSL 이 적용되지 않은 구간에서도 쿠키를 읽을 수 있어야 하므로, 적용하지 않습니다. 이 PR 로 변경되는 내용 - Context 클래스에 checkSslEnforce 메소드 추가 - SSL 항상 사용 옵션일 경우, 가능한 secure 플래그를 달아서 쿠기 굽기 - SSO 쿠키의 경우 javascript 접근이 필요 없을 것으로 예상 ( https://github.com/rhymix/rhymix/pull/1034 ) 되어서 `httpOnly` 플래그도 추가. 안드로이드 웹뷰의 경우 StackOverFlow 의 Reading secure cookies in android WebView 라는 글을 참고하면, 읽어오는 것이 가능하다고 합니다. 주소에 프로토콜을 적지 않을 경우 secure flag 가 달린 쿠키는 정상적으로 읽어오지 않는 듯 하니 안드로이드 웹뷰를 사용하시는 분들은 대응이 필요할 것으로 보입니다. https: //github.com/rhymix/rhymix/pull/1034 를 실수로 merge 하여서 다시 올립니다. Co-Authored-By: Kijin Sung <kijin@kijinsung.com>	2018-07-29 12:15:24 +09:00
Min-Soo Kim	b62a1322c9	Revert "Merge branch 'develop' into develop" This reverts commit `ec54bbd415`, reversing changes made to `9b12e0a71c`.	2018-07-29 11:54:14 +09:00
Min-Soo Kim	ec54bbd415	Merge branch 'develop' into develop	2018-07-29 11:49:27 +09:00
Kijin Sung	71bee10ae9	Support data types not defined in XE	2018-07-05 23:46:21 +09:00
Kijin Sung	32c9de472a	Improve addColumn() and modifyColumn() - 특정 컬럼 이후에 컬럼을 추가할 수 있도록 허용 - 모든 integer 타입의 size 속성을 무시 (tinyint 제외)	2018-07-05 22:43:53 +09:00
conory	35b73eec0b	basic files의 로드를 막을 수 있도록 Context::unloadBasicFiles() 추가 예) Context::unloadBasicFiles('admin' , 'rhymix.less', ...);	2018-07-05 16:45:55 +09:00
Kijin Sung	20fa55a3fc	Support HAVING in XML queries GROUP BY에 사용되는 <groups> 태그 안에 <having> 태그를 넣을 수 있습니다. 문법은 <conditions> 부분에 적용되는 것과 같습니다. <query id="queryId" action="select"> ... <groups> <group column="document_srl" /> <having> <condition operation="more" column="document_srl" var="myvar" default="0" /> </having> </groups> ... </query> 결과: SELECT ... GROUP BY document_srl HAVING document_srl >= 0	2018-07-03 15:40:52 +09:00
Kijin Sung	2b5cded376	Remove commented debug code	2018-07-02 16:41:13 +09:00
Kijin Sung	3359431d08	Allow nested condition groups XML 쿼리에서 <conditions><group> 안에 <group> 태그를 또 쓸 수 있도록 허용함. 이제 WHERE (a AND (b OR (c AND d))) 이런 조건을 작성할 수 있음.	2018-06-30 23:01:55 +09:00
Kijin Sung	2cfb7585af	Convert more SQL keywords to uppercase	2018-06-30 23:00:28 +09:00
Kijin Sung	3aaa0c60b2	Add sensible operation names to XML query syntax XML 쿼리 문법에서 사용되는 operation 이름을 상식적으로 개선함 차이점을 이해하기 어려운 excess/more, below/less 조건을 다른 프레임워크에서 흔히 사용하는 gt (greater than), gte (greater than or equal to), lt (less than), lte (less than or equal to) 라는 이름으로도 쓸 수 있도록 함. 실제 부등호는 XML 태그에 사용되므로 아직은 사용 불가... not_in은 있는데 not_equal, not_null, not_like는 없는 문제를 개선함. 이제 위의 4가지 모두 언더바(_)를 넣든 안 넣든 동일한 의미로 쓸 수 있음.	2018-06-30 16:01:44 +09:00
Kijin Sung	efa1b603c4	Condition pipe defaults to AND XML 쿼리 작성시 pipe="and"를 일일이 추가하지 않아도 기본값이 AND가 되도록 함	2018-06-30 15:55:06 +09:00

... 2 3 4 5 6 ...

2525 commits