Kijin Sung 238d97e4ab Restrict effect of setGrant() to current request ... 앞으로 또 발견될지도 모르는 보안 취약점으로 인한 피해를 줄이기 위해 문서나 댓글에 대하여 setGrant()를 호출하더라도 해당 세션 전체가 아닌 하나의 요청 내에서만 관리권한을 부여받도록 고칩니다. 세션 전체에 관리 권한을 부여하려면 새로 추가된 setGrantForSession() 메소드를 사용하여야 하며, 이것은 함부로 사용해서는 안됩니다. 그동안 getDocument(), getComment() 등에 $is_admin 파라미터가 너무 남용되어 왔으므로, 이 권한을 제한하는 것만으로도 서드파티 호환성에 미치는 영향을 최소화하면서 상당한 효과가 있을 것으로 보입니다.		2017-03-02 20:41:36 +09:00
..
conf	문서 신고시 이유 적을 수 있게 항목 추가	2016-01-27 17:44:34 +09:00
lang	Fix #370 allow sorting declared documents by latest report date	2016-12-18 02:13:24 +09:00
queries	FIx #690 disappearing description when category is moved	2017-02-11 18:03:05 +09:00
ruleset	문서 신고시 이유 적을 수 있게 항목 추가	2016-01-27 17:44:34 +09:00
schemas	add index is_admin column, and more improving.	2016-03-14 11:10:43 +09:00
tpl	Fix #716 incorrect display of default view count option	2017-02-15 23:13:04 +09:00
document.admin.controller.php	Fix #632 prevent overwriting document config	2016-11-10 17:33:53 +09:00
document.admin.model.php	Fix uninitialized stdClass in rarely used method	2016-05-27 07:57:58 +09:00
document.admin.view.php	Reapply "Fix #2005 XEVE-16-008 XSS 방지 및 XSS를 통해 특정 명령을 실행할 수 있는 보안취약점 해결"	2017-01-12 15:21:44 +09:00
document.class.php	Fix uninitialized stdClass in rarely used method	2016-05-27 07:57:58 +09:00
document.controller.php	Fix unauthorized manipulation of documents via procDocumentManageCheckedDocument	2017-03-02 00:05:06 +09:00
document.item.php	Restrict effect of setGrant() to current request	2017-03-02 20:41:36 +09:00
document.model.php	Update document.model.php	2017-02-05 14:00:49 +09:00
document.view.php	댓글 신고시 신고 이유를 적을 수 있게 함	2016-01-29 01:22:09 +09:00