refactor: fix sicurezza

Author: Pek5892

modules/aggiornamenti/actions.php

@@ -64,6 +64,7 @@
             break;
         }
 
+        // TODO: Blindare maggiormente le query che il gestionale ha generato per la correzione dei conflitti a database
         // WHITELIST: Permetti solo pattern SQL sicuri
         $allowed_patterns = [
             '/^ALTER\s+TABLE\s+`?[\w]+`?\s+(ADD|MODIFY|CHANGE|DROP)\s+(COLUMN\s+)?`?[\w]+`?/i',

modules/contratti/ajax/select.php

@@ -53,8 +53,8 @@
 
         if (empty($elements)) {
             $where[] = '`an_anagrafiche`.`idanagrafica`='.prepare($superselect['idanagrafica']);
-            $allowed_stati = ['is_pianificabile', 'is_completato', 'is_fatturabile'];
-            $stato = !empty($superselect['stato']) && in_array($superselect['stato'], $allowed_stati)
+            $stati_consentiti = ['is_pianificabile', 'is_completato', 'is_fatturabile'];
+            $stato = !empty($superselect['stato']) && in_array($superselect['stato'], $stati_consentiti)
                 ? $superselect['stato']
                 : 'is_pianificabile';
             $where[] = '`idstato` IN (SELECT `id` FROM `co_staticontratti` WHERE `'.str_replace('`', '', $stato).'` = 1)';

modules/contratti/modals/confronta_righe.php

@@ -25,7 +25,7 @@
 $contratto = Contratto::find($id_record);
 
 $id_anagrafica = $contratto->idanagrafica;
-$righe_ids = array_map('intval', explode(',', $_GET['righe'] ?? ''));
+$righe_ids = array_map('intval', explode(',', get('righe', true) ?? ''));
 $placeholders = implode(',', array_fill(0, count($righe_ids), '?'));
 $righe = $dbo->fetchArray(
     'SELECT 

modules/ddt/modals/confronta_righe.php

@@ -26,7 +26,7 @@
 
 $id_anagrafica = $ddt->idanagrafica;
 $direzione = $ddt->direzione;
-$righe_ids = array_map('intval', explode(',', $_GET['righe'] ?? ''));
+$righe_ids = array_map('intval', explode(',', get('righe', true) ?? ''));
 $placeholders = implode(',', array_fill(0, count($righe_ids), '?'));
 $righe = $dbo->fetchArray(
     'SELECT 

modules/fatture/modals/confronta_righe.php

@@ -26,7 +26,7 @@
 
 $id_anagrafica = $documento->idanagrafica;
 $direzione = $documento->direzione;
-$righe_ids = array_map('intval', explode(',', filter('righe') ?? ''));
+$righe_ids = array_map('intval', explode(',', get('righe', true) ?? ''));
 $placeholders = implode(',', array_fill(0, count($righe_ids), '?'));
 $righe = $dbo->fetchArray(
     'SELECT 

modules/interventi/modals/confronta_righe.php

@@ -26,7 +26,7 @@
 
 $id_anagrafica = $intervento->idanagrafica;
 $direzione = $intervento->direzione;
-$righe_ids = array_map('intval', explode(',', filter('righe') ?? ''));
+$righe_ids = array_map('intval', explode(',', get('righe', true) ?? ''));
 $placeholders = implode(',', array_fill(0, count($righe_ids), '?'));
 $righe = $dbo->fetchArray(
     'SELECT 

modules/ordini/ajax/select.php

@@ -48,8 +48,8 @@
             if (empty($elements)) {
                 $where[] = '`an_anagrafiche`.`idanagrafica`='.prepare($superselect['idanagrafica']);
 
-                $allowed_stati = ['is_fatturabile', 'is_evadibile', 'is_completato'];
-                $stato = !empty($superselect['stato']) && in_array($superselect['stato'], $allowed_stati)
+                $stati_consentiti = ['is_fatturabile', 'is_evadibile', 'is_completato'];
+                $stato = !empty($superselect['stato']) && in_array($superselect['stato'], $stati_consentiti)
                     ? $superselect['stato']
                     : 'is_fatturabile';
                 $where[] = '`or_statiordine`.'.$stato.' = 1';

modules/ordini/modals/confronta_righe.php

@@ -26,7 +26,7 @@
 
 $id_anagrafica = $ordine->idanagrafica;
 $direzione = $ordine->direzione;
-$righe_ids = array_map('intval', explode(',', $_GET['righe'] ?? ''));
+$righe_ids = array_map('intval', explode(',', get('righe', true) ?? ''));
 $placeholders = implode(',', array_fill(0, count($righe_ids), '?'));
 $righe = $dbo->fetchArray(
     'SELECT 

modules/preventivi/ajax/select.php

@@ -56,8 +56,8 @@
                 $where[] = '`an_anagrafiche`.`idanagrafica`='.prepare($superselect['idanagrafica']);
                 $where[] = '`co_preventivi`.`default_revision`=1';
 
-                $allowed_stati = ['is_pianificabile', 'is_completato', 'is_fatturabile', 'is_concluso'];
-                $stato = !empty($superselect['stato']) && in_array($superselect['stato'], $allowed_stati)
+                $stati_consentiti = ['is_pianificabile', 'is_completato', 'is_fatturabile', 'is_concluso'];
+                $stato = !empty($superselect['stato']) && in_array($superselect['stato'], $stati_consentiti)
                     ? $superselect['stato']
                     : 'is_pianificabile';
                 $where[] = '(`'.str_replace('`', '', $stato).'` = 1)';

modules/preventivi/modals/confronta_righe.php

@@ -25,7 +25,7 @@
 $preventivo = Preventivo::find($id_record);
 
 $id_anagrafica = $preventivo->idanagrafica;
-$righe_ids = array_map('intval', explode(',', $_GET['righe'] ?? ''));
+$righe_ids = array_map('intval', explode(',', get('righe', true) ?? ''));
 $placeholders = implode(',', array_fill(0, count($righe_ids), '?'));
 $righe = $dbo->fetchArray(
     'SELECT