';
}
- echo '
' . replaceEmojisWithImages(processMarkdownAndWrapEmptyLines(replaceURLsWithLinks(nl2br($this->value['ueuse'])))) . '
';
+ echo '
' . replaceEmojisWithImages(processMarkdownAndWrapEmptyLines(replaceURLsWithLinks(nl2br(htmlspecialchars($this->value['ueuse'], ENT_QUOTES, 'UTF-8', false))))) . '
';
if (!empty($this->value['photo4']) && $this->value['photo4'] !== 'none') {
echo '
';
- echo '
.' "画像1")
';
- echo '
.' "画像2")
';
- echo '
.' "画像3")
';
- echo '
.' "画像4")
';
+ echo '
.' "画像1")
';
+ echo '
.' "画像2")
';
+ echo '
.' "画像3")
';
+ echo '
.' "画像4")
';
echo '
';
} elseif (!empty($this->value['photo3']) && $this->value['photo3'] !== 'none') {
echo '
';
- echo '
';
- echo '
';
+ echo '
';
+ echo '
';
echo '
';
- echo '
';
+ echo '
';
echo '
';
echo '
';
} elseif (!empty($this->value['photo2']) && $this->value['photo2'] !== 'none') {
echo '
';
- echo '
';
- echo '
';
+ echo '
';
+ echo '
';
echo '
';
} elseif (!empty($this->value['photo1']) && $this->value['photo1'] !== 'none') {
echo '
';
- echo '
';
+ echo '
';
echo '
';
}
if (!empty($this->value['video1']) && $this->value['video1'] !== 'none') {
echo '
';
- echo ' ';
+ echo ' ';
echo '
';
}elseif (!empty(YouTube_and_nicovideo_Links($this->value['ueuse']))) {
echo '
';
@@ -333,10 +332,10 @@ class MessageDisplay {
if(!($this->value['abi'] == "none")){
echo '
';
echo '
';
- echo '
' . replaceProfileEmojiImages(htmlentities($this->value['username'])) . 'さんが追記しました
';
+ echo '' . replaceProfileEmojiImages(htmlspecialchars($this->value['username'], ENT_QUOTES, 'UTF-8', false)) . 'さんが追記しました
';
echo ' ';
- echo '
'.processMarkdownAndWrapEmptyLines(replaceEmojisWithImages(replaceURLsWithLinks(nl2br($this->value['abi'])))) . '
';
- echo '
追記日時 : '. date("Y年m月d日 H:i", strtotime(htmlentities($this->value['abidate']))) . '
';
+ echo '
'.processMarkdownAndWrapEmptyLines(replaceEmojisWithImages(replaceURLsWithLinks(nl2br(htmlspecialchars($this->value['abi'], ENT_QUOTES, 'UTF-8', false))))) . '
';
+ echo '
追記日時 : '. date("Y年m月d日 H:i", strtotime(htmlspecialchars($this->value['abidate'], ENT_QUOTES, 'UTF-8', false))) . '
';
echo '
';
}
if($this->value['nsfw'] === "true"){
@@ -348,27 +347,27 @@ class MessageDisplay {
echo '
';
$favoriteList = explode(',', $this->value['favorite']);
if (in_array($this->userid, $favoriteList)) {
- echo '
';
+ echo '
';
}else{
- echo '
';
+ echo '
';
}
- echo '
'.htmlentities($this->value['reply_count']).'';
- echo '
';
+ echo '
'.htmlspecialchars($this->value['reply_count'], ENT_QUOTES, 'UTF-8', false).'';
+ echo '
';
$bookmarkList = explode(',', $this->value['bookmark']);
if (in_array($this->value['uniqid'], $bookmarkList)) {
- echo '
';
+ echo '
';
}else{
- echo '
';
+ echo '
';
}
if($this->value['account'] === $this->userid){
if(!($this->value['role'] === "ice")){
if($this->value['abi'] === "none"){
- echo '
';
+ echo '
';
}
}
- echo '
';
+ echo '
';
}
echo '
';
echo '
';
diff --git a/server/uwuzuinfo.txt b/server/uwuzuinfo.txt
index 18fbc3e..7aee904 100644
--- a/server/uwuzuinfo.txt
+++ b/server/uwuzuinfo.txt
@@ -1,4 +1,4 @@
uwuzu
-1.3.2
-2024/03/05
+1.3.3
+2024/03/06
daichimarukana,putonfps
\ No newline at end of file
diff --git a/server/uwuzurelease.txt b/server/uwuzurelease.txt
index 8d56aec..2f380ce 100644
--- a/server/uwuzurelease.txt
+++ b/server/uwuzurelease.txt
@@ -1,6 +1,14 @@
## リリースノートだぜぇぇぇぇぇぇい!!!!!!!
ここにはuwuzuの更新情報を載せてくぜぇ~!(いやまてテンションおかしいだろ...)
+## Version 1.3.3 (new_Planet)
+リリース日:2024/03/06
+fix: 重大な脆弱性を修正しました。
+fix: 一部表示がおかしくなる部分を修正しました。
+fix: バグを減らしました。
+chg: 投稿を削除する際の動作を一部変更しました。
+chg: 一部UIを変更しました。
+
## Version 1.3.2 (new_Planet)
リリース日:2024/03/05
fix: 広告を追加できない問題を修正しました。
diff --git a/ueuse/index.php b/ueuse/index.php
index fd0bbec..1b9031a 100644
--- a/ueuse/index.php
+++ b/ueuse/index.php
@@ -499,23 +499,23 @@ if( !empty($_POST['btn_submit']) ) {
// SQL作成
$stmt = $pdo->prepare("INSERT INTO ueuse (username, account, uniqid, rpuniqid, ueuse, photo1, photo2, photo3, photo4, video1, datetime, abi, nsfw) VALUES (:username, :account, :uniqid, :rpuniqid, :ueuse, :photo1, :photo2, :photo3, :photo4, :video1, :datetime, :abi, :nsfw)");
-
- $stmt->bindParam(':username', $username, PDO::PARAM_STR);
- $stmt->bindParam(':account', $userid, PDO::PARAM_STR);
- $stmt->bindParam(':uniqid', $uniqid, PDO::PARAM_STR);
- $stmt->bindParam(':rpuniqid', $ueuseid, PDO::PARAM_STR);
- $stmt->bindParam(':ueuse', $ueuse, PDO::PARAM_STR);
- $stmt->bindParam(':photo1', $photo1, PDO::PARAM_STR);
- $stmt->bindParam(':photo2', $photo2, PDO::PARAM_STR);
- $stmt->bindParam(':photo3', $photo3, PDO::PARAM_STR);
- $stmt->bindParam(':photo4', $photo4, PDO::PARAM_STR);
- $stmt->bindParam(':video1', $video1, PDO::PARAM_STR);
- $stmt->bindParam(':datetime', $datetime, PDO::PARAM_STR);
+ $stmt->bindParam(':username', htmlspecialchars($username, ENT_QUOTES, 'UTF-8', false), PDO::PARAM_STR);
+ $stmt->bindParam(':account', htmlspecialchars($userid, ENT_QUOTES, 'UTF-8', false), PDO::PARAM_STR);
+ $stmt->bindParam(':uniqid', htmlspecialchars($uniqid, ENT_QUOTES, 'UTF-8', false), PDO::PARAM_STR);
+ $stmt->bindParam(':rpuniqid', htmlspecialchars($ueuseid, ENT_QUOTES, 'UTF-8', false), PDO::PARAM_STR);
+ $stmt->bindParam(':ueuse', htmlspecialchars($ueuse, ENT_QUOTES, 'UTF-8', false), PDO::PARAM_STR);
- $stmt->bindParam(':abi', $abi, PDO::PARAM_STR);
+ $stmt->bindParam(':photo1', htmlspecialchars($photo1, ENT_QUOTES, 'UTF-8', false), PDO::PARAM_STR);
+ $stmt->bindParam(':photo2', htmlspecialchars($photo2, ENT_QUOTES, 'UTF-8', false), PDO::PARAM_STR);
+ $stmt->bindParam(':photo3', htmlspecialchars($photo3, ENT_QUOTES, 'UTF-8', false), PDO::PARAM_STR);
+ $stmt->bindParam(':photo4', htmlspecialchars($photo4, ENT_QUOTES, 'UTF-8', false), PDO::PARAM_STR);
+ $stmt->bindParam(':video1', htmlspecialchars($video1, ENT_QUOTES, 'UTF-8', false), PDO::PARAM_STR);
+ $stmt->bindParam(':datetime', htmlspecialchars($datetime, ENT_QUOTES, 'UTF-8', false), PDO::PARAM_STR);
- $stmt->bindParam(':nsfw', $save_nsfw, PDO::PARAM_STR);
+ $stmt->bindParam(':nsfw', htmlspecialchars($save_nsfw, ENT_QUOTES, 'UTF-8', false), PDO::PARAM_STR);
+
+ $stmt->bindParam(':abi', htmlspecialchars($abi, ENT_QUOTES, 'UTF-8', false), PDO::PARAM_STR);
// SQLクエリの実行
$res = $stmt->execute();
@@ -533,14 +533,14 @@ if( !empty($_POST['btn_submit']) ) {
// 通知用SQL作成
$stmt = $pdo->prepare("INSERT INTO notification (fromuserid, touserid, msg, url, datetime, userchk, title) VALUES (:fromuserid, :touserid, :msg, :url, :datetime, :userchk, :title)");
- $stmt->bindParam(':fromuserid', htmlentities($fromuserid), PDO::PARAM_STR);
- $stmt->bindParam(':touserid', htmlentities($touserid), PDO::PARAM_STR);
- $stmt->bindParam(':msg', htmlentities($msg), PDO::PARAM_STR);
- $stmt->bindParam(':url', htmlentities($url), PDO::PARAM_STR);
- $stmt->bindParam(':userchk', htmlentities($userchk), PDO::PARAM_STR);
- $stmt->bindParam(':title', htmlentities($title), PDO::PARAM_STR);
+ $stmt->bindParam(':fromuserid', htmlspecialchars($fromuserid, ENT_QUOTES, 'UTF-8', false), PDO::PARAM_STR);
+ $stmt->bindParam(':touserid', htmlspecialchars($touserid, ENT_QUOTES, 'UTF-8', false), PDO::PARAM_STR);
+ $stmt->bindParam(':msg', htmlspecialchars($msg, ENT_QUOTES, 'UTF-8', false), PDO::PARAM_STR);
+ $stmt->bindParam(':url', htmlspecialchars($url, ENT_QUOTES, 'UTF-8', false), PDO::PARAM_STR);
+ $stmt->bindParam(':userchk', htmlspecialchars($userchk, ENT_QUOTES, 'UTF-8', false), PDO::PARAM_STR);
+ $stmt->bindParam(':title', htmlspecialchars($title, ENT_QUOTES, 'UTF-8', false), PDO::PARAM_STR);
- $stmt->bindParam(':datetime', htmlentities($datetime), PDO::PARAM_STR);
+ $stmt->bindParam(':datetime', htmlspecialchars($datetime, ENT_QUOTES, 'UTF-8', false), PDO::PARAM_STR);
// SQLクエリの実行
$res = $stmt->execute();
@@ -568,14 +568,14 @@ if( !empty($_POST['btn_submit']) ) {
// 通知用SQL作成
$stmt = $pdo->prepare("INSERT INTO notification (fromuserid, touserid, msg, url, datetime, userchk, title) VALUES (:fromuserid, :touserid, :msg, :url, :datetime, :userchk, :title)");
- $stmt->bindParam(':fromuserid', htmlentities($fromuserid), PDO::PARAM_STR);
- $stmt->bindParam(':touserid', htmlentities($touserid), PDO::PARAM_STR);
- $stmt->bindParam(':msg', $msg, PDO::PARAM_STR);
- $stmt->bindParam(':url', htmlentities($url), PDO::PARAM_STR);
- $stmt->bindParam(':userchk', htmlentities($userchk), PDO::PARAM_STR);
- $stmt->bindParam(':title', htmlentities($title), PDO::PARAM_STR);
+ $stmt->bindParam(':fromuserid', htmlspecialchars($fromuserid, ENT_QUOTES, 'UTF-8', false), PDO::PARAM_STR);
+ $stmt->bindParam(':touserid', htmlspecialchars($touserid, ENT_QUOTES, 'UTF-8', false), PDO::PARAM_STR);
+ $stmt->bindParam(':msg', htmlspecialchars($msg, ENT_QUOTES, 'UTF-8', false), PDO::PARAM_STR);
+ $stmt->bindParam(':url', htmlspecialchars($url, ENT_QUOTES, 'UTF-8', false), PDO::PARAM_STR);
+ $stmt->bindParam(':userchk', htmlspecialchars($userchk, ENT_QUOTES, 'UTF-8', false), PDO::PARAM_STR);
+ $stmt->bindParam(':title', htmlspecialchars($title, ENT_QUOTES, 'UTF-8', false), PDO::PARAM_STR);
- $stmt->bindParam(':datetime', htmlentities($datetime), PDO::PARAM_STR);
+ $stmt->bindParam(':datetime', htmlspecialchars($datetime, ENT_QUOTES, 'UTF-8', false), PDO::PARAM_STR);
// SQLクエリの実行
$res = $stmt->execute();
diff --git a/user/index.php b/user/index.php
index 182b5c2..6927179 100644
--- a/user/index.php
+++ b/user/index.php
@@ -201,6 +201,7 @@ if( !empty($pdo) ) {
// プロフィールの絵文字対応
function replaceProfileEmojiImages($postText) {
+ $postText = str_replace(''', '\'', $postText);
// プロフィール名で絵文字名(:emoji:)を検出して画像に置き換える
$emojiPattern = '/:(\w+):/';
$postTextWithImages = preg_replace_callback($emojiPattern, function($matches) {
@@ -226,6 +227,7 @@ if( !empty($pdo) ) {
}
// ユーズ内の絵文字を画像に置き換える
function replaceEmojisWithImages($postText) {
+ $postText = str_replace(''', '\'', $postText);
// ユーズ内で絵文字名(:emoji:)を検出して画像に置き換える
$emojiPattern = '/:(\w+):/';
$postTextWithImages = preg_replace_callback($emojiPattern, function($matches) {
@@ -281,8 +283,6 @@ if( !empty($pdo) ) {
}
function replaceURLsWithLinks($postText) {
- $postText = str_replace(''', '\'', $postText);
-
// URLを正規表現を使って検出
$pattern = '/(https:\/\/[^\s<>\[\]\'"]+)/'; // 改良された正規表現
preg_match_all($pattern, $postText, $matches);
@@ -466,14 +466,14 @@ if (!empty($_POST['follow'])) {
// 通知用SQL作成
$stmt = $pdo->prepare("INSERT INTO notification (fromuserid, touserid, msg, url, datetime, userchk, title) VALUES (:fromuserid, :touserid, :msg, :url, :datetime, :userchk, :title)");
- $stmt->bindParam(':fromuserid', htmlentities($fromuserid), PDO::PARAM_STR);
- $stmt->bindParam(':touserid', htmlentities($touserid), PDO::PARAM_STR);
- $stmt->bindParam(':msg', htmlentities($msg), PDO::PARAM_STR);
- $stmt->bindParam(':url', htmlentities($url), PDO::PARAM_STR);
- $stmt->bindParam(':userchk', htmlentities($userchk), PDO::PARAM_STR);
- $stmt->bindParam(':title', htmlentities($title), PDO::PARAM_STR);
+ $stmt->bindParam(':fromuserid', htmlspecialchars($fromuserid, ENT_QUOTES, 'UTF-8', false), PDO::PARAM_STR);
+ $stmt->bindParam(':touserid', htmlspecialchars($touserid, ENT_QUOTES, 'UTF-8', false), PDO::PARAM_STR);
+ $stmt->bindParam(':msg', htmlspecialchars($msg, ENT_QUOTES, 'UTF-8', false), PDO::PARAM_STR);
+ $stmt->bindParam(':url', htmlspecialchars($url, ENT_QUOTES, 'UTF-8', false), PDO::PARAM_STR);
+ $stmt->bindParam(':userchk', htmlspecialchars($userchk, ENT_QUOTES, 'UTF-8', false), PDO::PARAM_STR);
+ $stmt->bindParam(':title', htmlspecialchars($title, ENT_QUOTES, 'UTF-8', false), PDO::PARAM_STR);
- $stmt->bindParam(':datetime', htmlentities($datetime), PDO::PARAM_STR);
+ $stmt->bindParam(':datetime', htmlspecialchars($datetime, ENT_QUOTES, 'UTF-8', false), PDO::PARAM_STR);
// SQLクエリの実行
$res = $stmt->execute();
@@ -625,7 +625,7 @@ $pdo = null;
-
<?php echo htmlentities($userData['username'], ENT_QUOTES, 'UTF-8'); ?> さんのプロフィール - <?php echo htmlspecialchars($serversettings["serverinfo"]["server_name"], ENT_QUOTES, 'UTF-8');?>
+
<?php echo htmlspecialchars($userData['username'], ENT_QUOTES, 'UTF-8', false); ?> さんのプロフィール - <?php echo htmlspecialchars($serversettings["serverinfo"]["server_name"], ENT_QUOTES, 'UTF-8');?>
@@ -685,12 +685,12 @@ $pdo = null;
-
; ?>)
+
; ?>)
-
; ?>)
-
-
@
+
; ?>)
+
+
@
@@ -698,15 +698,15 @@ $pdo = null;
-
+
@@ -718,7 +718,7 @@ $pdo = null;
@@ -727,8 +727,8 @@ $pdo = null;
-
-
+
+
@@ -740,7 +740,7 @@ $pdo = null;
@@ -748,7 +748,7 @@ $pdo = null;
-
+
';
+ echo ' 
';
}else{
echo ' 
';
}
}else{
- echo ' 
';
+ echo '  . ')
';
}
echo '