fix: vulnerabilità minori

Pek5892 · Pek5892 · commit 8738d1d67cde · 2026-03-05T11:26:38.000+01:00
diff --git a/modules/checklists/modutil.php b/modules/checklists/modutil.php
@@ -61,7 +61,7 @@ function renderChecklist($check, $level = 1, $parent = 0, $has_images = false)
 
             $result .= '
                         <td style="border-top:0px;">
-                            <span class="text unblockable" style="'.(!empty($check->checked_at) ? 'text-decoration:line-through;' : '').'">'.$check->content.' </span>
+                            <span class="text unblockable" style="'.(!empty($check->checked_at) ? 'text-decoration:line-through;' : '').'">'.htmlspecialchars($check->content, ENT_QUOTES, 'UTF-8').' </span>
                         </td>';
 
             $result .= '
diff --git a/modules/fatture/modals/confronta_righe.php b/modules/fatture/modals/confronta_righe.php
@@ -26,7 +26,7 @@
 
 $id_anagrafica = $documento->idanagrafica;
 $direzione = $documento->direzione;
-$righe_ids = array_map('intval', explode(',', $_GET['righe'] ?? ''));
+$righe_ids = array_map('intval', explode(',', filter('righe') ?? ''));
 $placeholders = implode(',', array_fill(0, count($righe_ids), '?'));
 $righe = $dbo->fetchArray(
     'SELECT 
diff --git a/modules/fatture/modutil.php b/modules/fatture/modutil.php
@@ -308,8 +308,18 @@ function aggiungi_movimento($iddocumento, $dir, $primanota = 0)
             $importo_cliente = sum($importo_cliente, -$iva_fattura, 2);
         }
 
-        $query2 = 'INSERT INTO co_movimenti(idmastrino, data, iddocumento, id_anagrafica, descrizione, idconto, totale, primanota) VALUES('.prepare($idmastrino).', '.prepare($data).', '.prepare($iddocumento).", '', ".prepare($descrizione.' del '.date('d/m/Y', strtotime((string) $data)).' ('.$ragione_sociale.')').', '.prepare($idconto_controparte).', '.prepare(($importo_cliente + $totale_bolli) * $segno_mov1_cliente).', '.prepare($primanota).' )';
-        $dbo->query($query2);
+        $query2 = 'INSERT INTO co_movimenti(idmastrino, data, iddocumento, id_anagrafica, descrizione, idconto, totale, primanota) VALUES(:idmastrino, :data, :iddocumento, :id_anagrafica, :descrizione, :idconto, :totale, :primanota)';
+        $params = [
+            ':idmastrino' => $idmastrino,
+            ':data' => $data,
+            ':iddocumento' => $iddocumento,
+            ':id_anagrafica' => '',
+            ':descrizione' => $descrizione.' del '.date('d/m/Y', strtotime((string) $data)).' ('.$ragione_sociale.')',
+            ':idconto' => $idconto_controparte,
+            ':totale' => ($importo_cliente + $totale_bolli) * $segno_mov1_cliente,
+            ':primanota' => $primanota,
+        ];
+        $dbo->query($query2, $params);
 
         // 2) Aggiungo il totale sul conto dei ricavi/spese scelto
         // Lettura descrizione conto ricavi/spese per ogni riga del documento
diff --git a/modules/interventi/modals/confronta_righe.php b/modules/interventi/modals/confronta_righe.php
@@ -26,7 +26,7 @@
 
 $id_anagrafica = $intervento->idanagrafica;
 $direzione = $intervento->direzione;
-$righe_ids = array_map('intval', explode(',', $_GET['righe'] ?? ''));
+$righe_ids = array_map('intval', explode(',', filter('righe') ?? ''));
 $placeholders = implode(',', array_fill(0, count($righe_ids), '?'));
 $righe = $dbo->fetchArray(
     'SELECT 
diff --git a/oauth2.php b/oauth2.php
@@ -25,8 +25,8 @@
 session_write_close();
 
 // Authorization information
-$state = $_GET['state'];
-$code = $_GET['code'];
+$state = filter('state');
+$code = filter('code');
 
 // Account individuato via state
 if (!empty($state)) {
@@ -57,10 +57,10 @@
     $redirect = $response['authorization_url'];
 }
 
-if (empty($_GET['error'])) {
+if (empty(filter('error'))) {
     redirect_url($redirect);
     exit;
 }
-echo strip_tags($_GET['error']).'<br>'.strip_tags($_GET['error_description']).'
+echo strip_tags(filter('error')).'<br>'.strip_tags(filter('error_description')).'
 <br><br>
 <a href="'.$redirect.'">'.tr('Riprova').'</a>';
