fix: Corrette vulnerabilità SQL injection attraverso l'utilizzo della funzione prepare() per l'escaping delle variabili nelle query SQL.

lucasalva87 · lucasalva87 · commit 0067b1653a79 · 2026-03-02T08:50:52.000+01:00
diff --git a/modules/anagrafiche/ajax/complete.php b/modules/anagrafiche/ajax/complete.php
@@ -40,7 +40,7 @@
         // Elenco sedi con <option>
     case 'get_sedi_select':
         $idanagrafica = get('idanagrafica');
-        $q = "SELECT id, CONCAT_WS( ' - ', nomesede, citta ) AS descrizione FROM an_sedi WHERE idanagrafica='".$idanagrafica."' ".Modules::getAdditionalsQuery(Module::where('name', 'Anagrafiche')->first()->id).' ORDER BY id';
+        $q = "SELECT id, CONCAT_WS( ' - ', nomesede, citta ) AS descrizione FROM an_sedi WHERE idanagrafica=".prepare($idanagrafica).' '.Modules::getAdditionalsQuery(Module::where('name', 'Anagrafiche')->first()->id).' ORDER BY id';
         $rs = $dbo->fetchArray($q);
         $n = sizeof($rs);
 
diff --git a/modules/anagrafiche/edit.php b/modules/anagrafiche/edit.php
@@ -590,7 +590,7 @@ function risolviConto(tipo){
                             </div>
                             <div class="row">
                                 <div class="col-md-6">';
-                                    $rs = $dbo->fetchArray("SELECT idtipointervento FROM an_anagrafiche_tipiintervento WHERE idanagrafica='".$id_record."'");
+                                    $rs = $dbo->fetchArray("SELECT idtipointervento FROM an_anagrafiche_tipiintervento WHERE idanagrafica=".prepare($id_record));
                                     $idtipiintervento = array('-1');
                                     for( $i=0; $i<sizeof($rs); $i++ ){
                                         array_push( $idtipiintervento, $rs[$i]['idtipointervento'] );
diff --git a/modules/interventi/plugins/mappa.php b/modules/interventi/plugins/mappa.php
@@ -69,10 +69,10 @@
         $val = html_entity_decode((string) $rs1[$i]['idanagrafica']);
         $id_sede = $dbo->selectOne('in_interventi', '*', ['id' => $rs1[$i]['id']])['idsede_destinazione'];
         if ($id_sede) {
-            $query = "SELECT *, nomesede AS ragione_sociale FROM an_sedi WHERE id='".$id_sede."'";
+            $query = "SELECT *, nomesede AS ragione_sociale FROM an_sedi WHERE id=".prepare($id_sede);
             $rs = $dbo->fetchArray($query);
         } else {
-            $query = "SELECT *, ragione_sociale FROM an_anagrafiche WHERE idanagrafica='".$val."'";
+            $query = "SELECT *, ragione_sociale FROM an_anagrafiche WHERE idanagrafica=".prepare($val);
             $rs = $dbo->fetchArray($query);
         }
 
diff --git a/modules/scadenzario/edit.php b/modules/scadenzario/edit.php
@@ -26,7 +26,7 @@
 $id_modulo_banche = Module::where('name', 'Banche')->first()->id;
 $id_modulo_prima_nota = Module::where('name', 'Prima nota')->first()->id;
 
-$mesi_chiusura = $dbo->fetchArray('SELECT mese FROM an_pagamenti_anagrafiche WHERE idanagrafica = '.$record['idanagrafica']);
+$mesi_chiusura = $dbo->fetchArray('SELECT mese FROM an_pagamenti_anagrafiche WHERE idanagrafica = '.prepare($record['idanagrafica']));
 $scadenza_in_chiusura = 0;
 
 foreach ($scadenze as $scadenza) {
diff --git a/plugins/automezzi_danni/row-list-danni.php b/plugins/automezzi_danni/row-list-danni.php
@@ -47,7 +47,7 @@
 if (!empty($danni)) {
     $disabled = $user->gruppo == 'Tecnici' ? 'disabled' : '';
     foreach ($danni as $danno) {
-        $n_file = $dbo->fetchNum('SELECT * FROM zz_files WHERE id_record='.$danno['id'].' AND id_plugin='.$id_plugin);
+        $n_file = $dbo->fetchNum('SELECT * FROM zz_files WHERE id_record='.prepare($danno['id']).' AND id_plugin='.prepare($id_plugin));
         echo '
         <tr>
             <td class="text-center">'.Translator::dateToLocale($danno['data']).'</td>
diff --git a/plugins/automezzi_manutenzioni/row-list-manutenzioni.php b/plugins/automezzi_manutenzioni/row-list-manutenzioni.php
@@ -50,7 +50,7 @@
 if (!empty($manutenzioni)) {
     $disabled = $user->gruppo == 'Tecnici' ? 'disabled' : '';
     foreach ($manutenzioni as $manutenzione) {
-        $n_file = $dbo->fetchNum('SELECT * FROM zz_files WHERE id_record='.$manutenzione['id'].' AND id_plugin='.$id_plugin);
+        $n_file = $dbo->fetchNum('SELECT * FROM zz_files WHERE id_record='.prepare($manutenzione['id']).' AND id_plugin='.prepare($id_plugin));
         echo '
         <tr>
             <td>'.$manutenzione['descrizione'].'</td>
diff --git a/plugins/automezzi_scadenze/row-list-scadenze.php b/plugins/automezzi_scadenze/row-list-scadenze.php
@@ -52,7 +52,7 @@
 if (!empty($scadenze)) {
     $disabled = $user->gruppo == 'Tecnici' ? 'disabled' : '';
     foreach ($scadenze as $scadenza) {
-        $n_file = $dbo->fetchNum('SELECT * FROM zz_files WHERE id_record='.$scadenza['id'].' AND id_plugin='.$id_plugin);
+        $n_file = $dbo->fetchNum('SELECT * FROM zz_files WHERE id_record='.prepare($scadenza['id']).' AND id_plugin='.prepare($id_plugin));
         echo '
         <tr>
             <td>'.$scadenza['descrizione'].'</td>
diff --git a/plugins/pianificazione_interventi/edit.php b/plugins/pianificazione_interventi/edit.php
@@ -108,7 +108,8 @@
         // Informazioni sugli impianti
         $info_impianti = '';
         if (!empty($promemoria['idimpianti'])) {
-            $impianti = $dbo->fetchArray('SELECT id, matricola, nome FROM my_impianti WHERE id IN ('.$promemoria['idimpianti'].')');
+            $impianti_ids = array_map('intval', explode(',', $promemoria['idimpianti']));
+            $impianti = $dbo->fetchArray('SELECT id, matricola, nome FROM my_impianti WHERE id IN ('.implode(',', $impianti_ids).')');
 
             foreach ($impianti as $impianto) {
                 $info_impianti .= Modules::link('MyImpianti', $impianto['id'], tr('_NOME_ (_MATRICOLA_)', [
diff --git a/plugins/sedi/actions.php b/plugins/sedi/actions.php
@@ -107,7 +107,7 @@
         // Salva le tariffe specifiche per la sede
         salvaTariffeSede($id_record, $id_parent);
 
-        $referenti = $dbo->fetchArray('SELECT id FROM an_referenti WHERE idsede = '.$id_record);
+        $referenti = $dbo->fetchArray('SELECT id FROM an_referenti WHERE idsede = '.prepare($id_record));
         $id_referenti = (array) post('id_referenti');
         $refs = array_diff($referenti, $id_referenti);
 
diff --git a/update/2_1.php b/update/2_1.php
@@ -12,14 +12,14 @@
 
 for ($i = 0; $i < sizeof($rs); ++$i) {
     if ($rivalsainps != '') {
-        $dbo->query('UPDATE co_righe_documenti SET idrivalsainps="'.$rivalsainps.'", rivalsainps=( (subtotale-sconto) /100 * 4 ) WHERE iddocumento="'.$rs[$i]['id'].'"');
+        $dbo->query('UPDATE co_righe_documenti SET idrivalsainps='.prepare($rivalsainps).', rivalsainps=( (subtotale-sconto) /100 * 4 ) WHERE iddocumento='.prepare($rs[$i]['id']));
     } else {
-        $dbo->query('UPDATE co_righe_documenti SET idrivalsainps="0", rivalsainps=0 WHERE iddocumento="'.$rs[$i]['id'].'"');
+        $dbo->query('UPDATE co_righe_documenti SET idrivalsainps="0", rivalsainps=0 WHERE iddocumento='.prepare($rs[$i]['id']));
     }
 
     if ($ritenuta != '') {
-        $dbo->query('UPDATE co_righe_documenti SET idritenutaacconto="'.$ritenuta.'", ritenutaacconto=( (subtotale+rivalsainps-sconto) /100 * 20 ) WHERE iddocumento="'.$rs[$i]['id'].'"');
+        $dbo->query('UPDATE co_righe_documenti SET idritenutaacconto='.prepare($ritenuta).', ritenutaacconto=( (subtotale+rivalsainps-sconto) /100 * 20 ) WHERE iddocumento='.prepare($rs[$i]['id']));
     } else {
-        $dbo->query('UPDATE co_righe_documenti SET idritenutaacconto="0", ritenutaacconto=0 WHERE iddocumento="'.$rs[$i]['id'].'"');
+        $dbo->query('UPDATE co_righe_documenti SET idritenutaacconto="0", ritenutaacconto=0 WHERE iddocumento='.prepare($rs[$i]['id']));
     }
 }
diff --git a/update/2_2.php b/update/2_2.php
@@ -13,11 +13,11 @@
         $idpianodeiconti2 = $rs2[0]['idpianodeiconti2'];
 
         // Creo il nuovo conto
-        $dbo->query('INSERT INTO co_pianodeiconti3( numero, descrizione, idpianodeiconti2, can_delete, can_edit ) VALUES( "'.$numero.'", "'.$rs[$i]['ragione_sociale'].'", "'.$idpianodeiconti2.'", 1, 1 )');
+        $dbo->query('INSERT INTO co_pianodeiconti3( numero, descrizione, idpianodeiconti2, can_delete, can_edit ) VALUES( '.prepare($numero).', '.prepare($rs[$i]['ragione_sociale']).', '.prepare($idpianodeiconti2).', 1, 1 )');
         $idconto = $dbo->lastInsertedID();
 
         // Collego questo conto al cliente
-        $dbo->query('UPDATE an_anagrafiche SET idconto_cliente="'.$idconto.'" WHERE idanagrafica="'.$rs[$i]['idanagrafica'].'"');
+        $dbo->query('UPDATE an_anagrafiche SET idconto_cliente='.prepare($idconto).' WHERE idanagrafica='.prepare($rs[$i]['idanagrafica']));
     }
 
     if (in_array('Fornitore', explode(',', (string) $rs[$i]['idtipianagrafica']))) {
@@ -27,11 +27,11 @@
         $idpianodeiconti2 = $rs2[0]['idpianodeiconti2'];
 
         // Creo il nuovo conto
-        $dbo->query('INSERT INTO co_pianodeiconti3( numero, descrizione, idpianodeiconti2, can_delete, can_edit ) VALUES( "'.$numero.'", "'.$rs[$i]['ragione_sociale'].'", "'.$idpianodeiconti2.'", 1, 1 )');
+        $dbo->query('INSERT INTO co_pianodeiconti3( numero, descrizione, idpianodeiconti2, can_delete, can_edit ) VALUES( '.prepare($numero).', '.prepare($rs[$i]['ragione_sociale']).', '.prepare($idpianodeiconti2).', 1, 1 )');
         $idconto = $dbo->lastInsertedID();
 
         // Collego questo conto al cliente
-        $dbo->query('UPDATE an_anagrafiche SET idconto_fornitore="'.$idconto.'" WHERE idanagrafica="'.$rs[$i]['idanagrafica'].'"');
+        $dbo->query('UPDATE an_anagrafiche SET idconto_fornitore='.prepare($idconto).' WHERE idanagrafica='.prepare($rs[$i]['idanagrafica']));
     }
 }
 
@@ -40,9 +40,9 @@
 
 for ($i = 0; $i < sizeof($rs); ++$i) {
     if ($rs[$i]['dir'] == 'entrata') {
-        $query = 'UPDATE co_movimenti SET idconto=(SELECT idconto_cliente FROM an_anagrafiche WHERE idanagrafica="'.$rs[$i]['idanagrafica'].'") WHERE id="'.$rs[$i]['id']."\" AND idconto=(SELECT id FROM co_pianodeiconti3 WHERE descrizione='Riepilogativo clienti')";
+        $query = 'UPDATE co_movimenti SET idconto=(SELECT idconto_cliente FROM an_anagrafiche WHERE idanagrafica='.prepare($rs[$i]['idanagrafica']).') WHERE id='.prepare($rs[$i]['id']).' AND idconto=(SELECT id FROM co_pianodeiconti3 WHERE descrizione="Riepilogativo clienti")';
     } else {
-        $query = 'UPDATE co_movimenti SET idconto=(SELECT idconto_fornitore FROM an_anagrafiche WHERE idanagrafica="'.$rs[$i]['idanagrafica'].'") WHERE id="'.$rs[$i]['id']."\" AND idconto=(SELECT id FROM co_pianodeiconti3 WHERE descrizione='Riepilogativo fornitori')";
+        $query = 'UPDATE co_movimenti SET idconto=(SELECT idconto_fornitore FROM an_anagrafiche WHERE idanagrafica='.prepare($rs[$i]['idanagrafica']).') WHERE id='.prepare($rs[$i]['id']).' AND idconto=(SELECT id FROM co_pianodeiconti3 WHERE descrizione="Riepilogativo fornitori")';
     }
 
     $dbo->query($query);
@@ -58,7 +58,7 @@
 // Spostamento ore di lavoro e diritto di chiamata dei preventivi nella tabella
 $idiva = $dbo->fetchArray("SELECT valore FROM zz_impostazioni WHERE nome='Iva predefinita'")[0]['valore'];
 
-$rs = $dbo->fetchArray('SELECT percentuale, indetraibile FROM co_iva WHERE id="'.$idiva.'"');
+$rs = $dbo->fetchArray('SELECT percentuale, indetraibile FROM co_iva WHERE id='.prepare($idiva));
 $percentuale = $rs[0]['percentuale'];
 $indetraibile = $rs[0]['indetraibile'];
 
@@ -72,7 +72,7 @@
         $iva = $imponibile / 100 * $percentuale;
         $iva_indetraibile = $imponibile / 100 * $indetraibile;
 
-        $dbo->query('INSERT INTO co_righe_preventivi( idpreventivo, idiva, iva, iva_indetraibile, descrizione, subtotale, sconto, um, qta ) VALUES( "'.$rs[$i]['id'].'", "'.$idiva.'", "'.$iva.'", "'.$iva_indetraibile.'", "Ore lavoro", "'.$imponibile.'", "0.00", "ore", "'.$rs[$i]['ore_lavoro'].'" )');
+        $dbo->query('INSERT INTO co_righe_preventivi( idpreventivo, idiva, iva, iva_indetraibile, descrizione, subtotale, sconto, um, qta ) VALUES( '.prepare($rs[$i]['id']).', '.prepare($idiva).', '.prepare($iva).', '.prepare($iva_indetraibile).', "Ore lavoro", '.prepare($imponibile).', "0.00", "ore", '.prepare($rs[$i]['ore_lavoro']).' )');
     }
 
     // Ore diritto chiamata
@@ -82,7 +82,7 @@
         $iva = $imponibile / 100 * $percentuale;
         $iva_indetraibile = $imponibile / 100 * $indetraibile;
 
-        $dbo->query('INSERT INTO co_righe_preventivi( idpreventivo, idiva, iva, iva_indetraibile, descrizione, subtotale, sconto, um, qta ) VALUES( "'.$rs[$i]['id'].'", "'.$idiva.'", "'.$iva.'", "'.$iva_indetraibile.'", "Diritto chiamata", "'.$imponibile.'", "0.00", "", "'.$rs[$i]['costo_diritto_chiamata'].'" )');
+        $dbo->query('INSERT INTO co_righe_preventivi( idpreventivo, idiva, iva, iva_indetraibile, descrizione, subtotale, sconto, um, qta ) VALUES( '.prepare($rs[$i]['id']).', '.prepare($idiva).', '.prepare($iva).', '.prepare($iva_indetraibile).', "Diritto chiamata", '.prepare($imponibile).', "0.00", "", '.prepare($rs[$i]['costo_diritto_chiamata']).' )');
     }
 }
 
@@ -99,7 +99,7 @@
 $rs = $dbo->fetchArray('SELECT idanagrafica, idagente FROM an_anagrafiche WHERE NOT idagente=0');
 
 for ($i = 0; $i < sizeof($rs); ++$i) {
-    $dbo->query('INSERT INTO an_anagrafiche_agenti( idanagrafica, idagente ) VALUES( "'.$rs[$i]['idanagrafica'].'", "'.$rs[$i]['idagente'].'" )');
+    $dbo->query('INSERT INTO an_anagrafiche_agenti( idanagrafica, idagente ) VALUES( '.prepare($rs[$i]['idanagrafica']).', '.prepare($rs[$i]['idagente']).' )');
 }
 
 /**
@@ -112,6 +112,6 @@
     $rsi = $dbo->fetchArray('SELECT * FROM in_tipiintervento WHERE (costo_orario!=0 OR costo_km!=0 OR costo_diritto_chiamata!=0)');
 
     for ($i = 0; $i < sizeof($rsi); ++$i) {
-        $dbo->query('INSERT INTO co_contratti_tipiintervento( idcontratto, idtipointervento, costo_ore, costo_km, costo_dirittochiamata, costo_ore_tecnico, costo_km_tecnico, costo_dirittochiamata_tecnico ) VALUES( "'.$rsc[$c]['id'].'", "'.$rsi[$i]['idtipointervento'].'", "'.$rsi[$i]['costo_orario'].'", "'.$rsi[$i]['costo_km'].'", "'.$rsi[$i]['costo_diritto_chiamata'].'", "'.$rsi[$i]['costo_orario_tecnico'].'", "'.$rsi[$i]['costo_km_tecnico'].'", "'.$rsi[$i]['costo_diritto_chiamata_tecnico'].'" )');
+        $dbo->query('INSERT INTO co_contratti_tipiintervento( idcontratto, idtipointervento, costo_ore, costo_km, costo_dirittochiamata, costo_ore_tecnico, costo_km_tecnico, costo_dirittochiamata_tecnico ) VALUES( "' . $rsc[$c]['id'] . '", "' . $rsi[$i]['idtipointervento'] . '", "' . $rsi[$i]['costo_orario'] . '", "' . $rsi[$i]['costo_km'] . '", "' . $rsi[$i]['costo_diritto_chiamata'] . '", "' . $rsi[$i]['costo_orario_tecnico'] . '", "' . $rsi[$i]['costo_km_tecnico'] . '", "' . $rsi[$i]['costo_diritto_chiamata_tecnico'] . '" )');
     }
-}
+}
diff --git a/update/2_4_9.php b/update/2_4_9.php
@@ -223,5 +223,5 @@ function get_costi_intervento_fix($id_intervento)
 $rs = $dbo->fetchArray('SELECT * FROM co_scadenziario');
 
 for ($i = 0; $i < sizeof($rs); ++$i) {
-    $dbo->query("UPDATE co_scadenziario SET descrizione=(SELECT CONCAT(co_tipidocumento.descrizione, CONCAT(' numero ', IF(numero_esterno!='', numero_esterno, numero))) FROM co_documenti INNER JOIN co_tipidocumento ON co_documenti.idtipodocumento=co_tipidocumento.id WHERE co_documenti.id='".$rs[$i]['iddocumento']."') WHERE co_scadenziario.id='".$rs[$i]['id']."'");
+    $dbo->query("UPDATE co_scadenziario SET descrizione=(SELECT CONCAT(co_tipidocumento.descrizione, CONCAT(' numero ', IF(numero_esterno!='', numero_esterno, numero))) FROM co_documenti INNER JOIN co_tipidocumento ON co_documenti.idtipodocumento=co_tipidocumento.id WHERE co_documenti.id=".prepare($rs[$i]['iddocumento']).") WHERE co_scadenziario.id=".prepare($rs[$i]['id']));
 }
diff --git a/update/2_5_7.php b/update/2_5_7.php
@@ -21,9 +21,9 @@
     $conto_fornitore = $fattura->anagrafica->idconto_fornitore;
 
     if ($conto_fornitore) {
-        $dbo->query('UPDATE co_movimenti SET idconto = '.$conto_fornitore.' WHERE iddocumento = '.$fattura->id.' AND idconto = '.$riepilogativo_fornitori);
+        $dbo->query('UPDATE co_movimenti SET idconto = '.prepare($conto_fornitore).' WHERE iddocumento = '.prepare($fattura->id).' AND idconto = '.prepare($riepilogativo_fornitori));
     }
     if ($conto_cliente) {
-        $dbo->query('UPDATE co_movimenti SET idconto = '.$conto_cliente.' WHERE iddocumento = '.$fattura->id.' AND idconto = '.$riepilogativo_clienti);
+        $dbo->query('UPDATE co_movimenti SET idconto = '.prepare($conto_cliente).' WHERE iddocumento = '.prepare($fattura->id).' AND idconto = '.prepare($riepilogativo_clienti));
     }
 }
diff --git a/update/2_7_1.php b/update/2_7_1.php
@@ -9,7 +9,7 @@
     $maxCodice = $max + 1;
 
     foreach ($codici as $codice) {
-        database()->query('UPDATE co_iva SET codice = '.$maxCodice.' WHERE id = '.$codice['id']);
+        database()->query('UPDATE co_iva SET codice = '.prepare($maxCodice).' WHERE id = '.prepare($codice['id']));
         ++$maxCodice;
     }
 }
diff --git a/update/2_7_2.php b/update/2_7_2.php
@@ -66,10 +66,10 @@
     $conto_fornitore = $fattura->anagrafica->idconto_fornitore;
 
     if ($conto_fornitore) {
-        $dbo->query('UPDATE co_movimenti SET idconto = '.$conto_fornitore.' WHERE iddocumento = '.$fattura->id.' AND idconto = '.$riepilogativo_fornitori);
+        $dbo->query('UPDATE co_movimenti SET idconto = '.prepare($conto_fornitore).' WHERE iddocumento = '.prepare($fattura->id).' AND idconto = '.prepare($riepilogativo_fornitori));
     }
     if ($conto_cliente) {
-        $dbo->query('UPDATE co_movimenti SET idconto = '.$conto_cliente.' WHERE iddocumento = '.$fattura->id.' AND idconto = '.$riepilogativo_clienti);
+        $dbo->query('UPDATE co_movimenti SET idconto = '.prepare($conto_cliente).' WHERE iddocumento = '.prepare($fattura->id).' AND idconto = '.prepare($riepilogativo_clienti));
     }
 }
 
@@ -81,9 +81,9 @@
         $anagrafica = $documento->anagrafica()->withTrashed()->first();
         if ($anagrafica) {
             $conto = ($documento->tipo->dir == 'uscita' ? $anagrafica->idconto_fornitore : $anagrafica->idconto_cliente);
-            $dbo->query('UPDATE co_movimenti SET idconto = '.$conto.' WHERE iddocumento = '.$documento->id.' AND idconto = '.$fattura['idconto']);
+            $dbo->query('UPDATE co_movimenti SET idconto = '.prepare($conto).' WHERE iddocumento = '.prepare($documento->id).' AND idconto = '.prepare($fattura['idconto']));
         }
     } else {
-        $dbo->query('DELETE FROM co_movimenti WHERE iddocumento = '.$fattura['iddocumento']);
+        $dbo->query('DELETE FROM co_movimenti WHERE iddocumento = '.prepare($fattura['iddocumento']));
     }
 }

Original file line number	Diff line number	Diff line change
`@@ -12,14 +12,14 @@`
`12`	`12`
`13`	`13`	`for ($i = 0; $i < sizeof($rs); ++$i) {`
`14`	`14`	`if ($rivalsainps != '') {`
`15`		`- $dbo->query('UPDATE co_righe_documenti SET idrivalsainps="'.$rivalsainps.'", rivalsainps=( (subtotale-sconto) /100 * 4 ) WHERE iddocumento="'.$rs[$i]['id'].'"');`
	`15`	`+ $dbo->query('UPDATE co_righe_documenti SET idrivalsainps='.prepare($rivalsainps).', rivalsainps=( (subtotale-sconto) /100 * 4 ) WHERE iddocumento='.prepare($rs[$i]['id']));`
`16`	`16`	`} else {`
`17`		`- $dbo->query('UPDATE co_righe_documenti SET idrivalsainps="0", rivalsainps=0 WHERE iddocumento="'.$rs[$i]['id'].'"');`
	`17`	`+ $dbo->query('UPDATE co_righe_documenti SET idrivalsainps="0", rivalsainps=0 WHERE iddocumento='.prepare($rs[$i]['id']));`
`18`	`18`	`}`
`19`	`19`
`20`	`20`	`if ($ritenuta != '') {`
`21`		`- $dbo->query('UPDATE co_righe_documenti SET idritenutaacconto="'.$ritenuta.'", ritenutaacconto=( (subtotale+rivalsainps-sconto) /100 * 20 ) WHERE iddocumento="'.$rs[$i]['id'].'"');`
	`21`	`+ $dbo->query('UPDATE co_righe_documenti SET idritenutaacconto='.prepare($ritenuta).', ritenutaacconto=( (subtotale+rivalsainps-sconto) /100 * 20 ) WHERE iddocumento='.prepare($rs[$i]['id']));`
`22`	`22`	`} else {`
`23`		`- $dbo->query('UPDATE co_righe_documenti SET idritenutaacconto="0", ritenutaacconto=0 WHERE iddocumento="'.$rs[$i]['id'].'"');`
	`23`	`+ $dbo->query('UPDATE co_righe_documenti SET idritenutaacconto="0", ritenutaacconto=0 WHERE iddocumento='.prepare($rs[$i]['id']));`
`24`	`24`	`}`
`25`	`25`	`}`