diff --git a/include/funktion.class.php b/include/funktion.class.php index ca64c742c..32b8ad913 100644 --- a/include/funktion.class.php +++ b/include/funktion.class.php @@ -61,7 +61,7 @@ class funktion extends basis_db $qry='SELECT * FROM public.tbl_funktion order by funktion_kurzbz;'; else $qry="SELECT * FROM public.tbl_funktion JOIN public.tbl_benutzerfunktion USING (funktion_kurzbz) - WHERE uid='".addslashes($uid)."';"; + WHERE uid=".$this->db_add_param($uid).";"; if(!$this->db_query($qry)) { @@ -75,9 +75,9 @@ class funktion extends basis_db $funktion_obj->funktion_kurzbz = $row->funktion_kurzbz; $funktion_obj->beschreibung = $row->beschreibung; - $funktion_obj->aktiv = $row->aktiv; - $funktion_obj->fachbereich = ($row->fachbereich=='t'?true:false); - $funktion_obj->semester = ($row->semester=='t'?true:false); + $funktion_obj->aktiv = $this->db_parse_bool($row->aktiv); + $funktion_obj->fachbereich = $this->db_parse_bool($row->fachbereich); + $funktion_obj->semester = $this->db_parse_bool($row->semester); $this->result[] = $funktion_obj; } @@ -111,7 +111,7 @@ class funktion extends basis_db return false; } - $qry = "SELECT * FROM public.tbl_funktion WHERE funktion_kurzbz = '".addslashes($funktion_kurzbz)."';"; + $qry = "SELECT * FROM public.tbl_funktion WHERE funktion_kurzbz = ".$this->db_add_param($funktion_kurzbz).";"; if(!$this->db_query($qry)) { @@ -123,9 +123,9 @@ class funktion extends basis_db { $this->funktion_kurzbz = $row->funktion_kurzbz; $this->beschreibung = $row->beschreibung; - $this->aktiv = $row->aktiv; - $this->fachbereich = ($row->fachbereich=='t'?true:false); - $this->semester = ($row->semester=='t'?true:false); + $this->aktiv = $this->db_parse_bool($row->aktiv); + $this->fachbereich = $this->db_parse_bool($row->fachbereich); + $this->semester = $this->db_parse_bool($row->semester); } else { @@ -174,11 +174,11 @@ class funktion extends basis_db } //Neuen Datensatz anlegen $qry = 'INSERT INTO public.tbl_funktion (funktion_kurzbz, beschreibung, fachbereich, semester, aktiv) VALUES ('. - $this->addslashes($this->funktion_kurzbz).', '. - $this->addslashes($this->beschreibung).', '. - ($this->fachbereich?'true':'false').','. - ($this->semester?'true':'false').','. - ($this->aktiv?'true':'false').'); '; + $this->db_add_param($this->funktion_kurzbz).', '. + $this->db_add_param($this->beschreibung).', '. + $this->db_add_param($this->fachbereich, FHC_BOOLEAN).','. + $this->db_add_param($this->semester, FHC_BOOLEAN).','. + $this->db_add_param($this->aktiv, FHC_BOOLEAN).'); '; } else { @@ -192,11 +192,11 @@ class funktion extends basis_db } $qry = 'UPDATE public.tbl_funktion SET '. - 'beschreibung='.$this->addslashes($this->beschreibung).', '. - 'fachbereich='.($this->fachbereich?'true':'false').','. - 'semester='.($this->semester?'true':'false').','. - 'aktiv='.($this->aktiv?'true':'false') .' '. - 'WHERE funktion_kurzbz = '.$this->addslashes($this->funktion_kurzbz).';'; + 'beschreibung='.$this->db_add_param($this->beschreibung).', '. + 'fachbereich='.$this->db_add_param($this->fachbereich, FHC_BOOLEAN).','. + 'semester='.$this->db_add_param($this->semester, FHC_BOOLEAN).','. + 'aktiv='.$this->db_add_param($this->aktiv, FHC_BOOLEAN).' '. + 'WHERE funktion_kurzbz = '.$this->db_add_param($this->funktion_kurzbz).';'; } if($this->db_query($qry)) diff --git a/include/geschaeftsjahr.class.php b/include/geschaeftsjahr.class.php index 1fad5ce16..5c59eb9f7 100644 --- a/include/geschaeftsjahr.class.php +++ b/include/geschaeftsjahr.class.php @@ -53,7 +53,7 @@ class geschaeftsjahr extends basis_db */ public function load($geschaeftsjahr_kurzbz) { - $qry = "SELECT * FROM public.tbl_geschaeftsjahr WHERE geschaeftsjahr_kurzbz='".addslashes($geschaeftsjahr_kurzbz)."'"; + $qry = "SELECT * FROM public.tbl_geschaeftsjahr WHERE geschaeftsjahr_kurzbz=".$this->db_add_param($geschaeftsjahr_kurzbz).';'; if(!$this->db_query($qry)) { @@ -114,18 +114,18 @@ class geschaeftsjahr extends basis_db if($this->new) { $qry = "INSERT INTO public.tbl_geschaeftsjahr (geschaeftsjahr_kurzbz, start, ende, bezeichnung) - VALUES('".addslashes($this->geschaeftsjahr_kurzbz)."',". - $this->addslashes($this->start).','. - $this->addslashes($this->ende).'.'. - $this->addslashes($this->bezeichnung).');'; + VALUES(".$this->db_add_param($this->geschaeftsjahr_kurzbz).",". + $this->db_add_param($this->start).','. + $this->db_add_param($this->ende).'.'. + $this->db_add_param($this->bezeichnung).');'; } else { $qry = 'UPDATE public.tbl_geschaeftsjahr SET'. - ' start='.$this->addslashes($this->start).','. - ' ende='.$this->addslashes($this->ende).','. - ' bezeichnung='.$this->addslashes($this->bezeichnung). - " WHERE geschaeftsjahr_kurzbz='$this->geschaeftsjahr_kurzbz'"; + ' start='.$this->db_add_param($this->start).','. + ' ende='.$this->db_add_param($this->ende).','. + ' bezeichnung='.$this->db_add_param($this->bezeichnung). + " WHERE geschaeftsjahr_kurzbz=".$this->db_add_param($this->geschaeftsjahr_kurzbz).';'; } if($this->db_query($qry)) @@ -148,7 +148,7 @@ class geschaeftsjahr extends basis_db public function getakt() { $qry = "SELECT geschaeftsjahr_kurzbz FROM public.tbl_geschaeftsjahr WHERE start <= CURRENT_DATE - AND ende >= CURRENT_DATE"; + AND ende >= CURRENT_DATE;"; if(!$this->db_query($qry)) { @@ -175,7 +175,7 @@ class geschaeftsjahr extends basis_db */ public function getAll() { - $qry = "SELECT * FROM public.tbl_geschaeftsjahr ORDER BY ende"; + $qry = "SELECT * FROM public.tbl_geschaeftsjahr ORDER BY ende;"; if($this->db_query($qry)) { @@ -206,7 +206,7 @@ class geschaeftsjahr extends basis_db */ public function getPrevious() { - $qry = "SELECT geschaeftsjahr_kurzbz FROM public.tbl_geschaeftsjahr WHERE endedb_query($qry)) { @@ -238,8 +238,8 @@ class geschaeftsjahr extends basis_db $newDatum = $date->formatDatum($datum,'Y-m-d'); $qry = "SELECT * FROM public.tbl_geschaeftsjahr - WHERE '$newDatum' >= public.tbl_geschaeftsjahr.start AND - '$newDatum' <= public.tbl_geschaeftsjahr.ende;"; + WHERE ".$this->db_add_param($newDatum)." >= public.tbl_geschaeftsjahr.start AND + ".$this->db_add_param($newDatum)." <= public.tbl_geschaeftsjahr.ende;"; if($this->db_query($qry)) { diff --git a/include/infoscreen.class.php b/include/infoscreen.class.php index 4254260cb..a92bcde3b 100755 --- a/include/infoscreen.class.php +++ b/include/infoscreen.class.php @@ -66,7 +66,7 @@ class infoscreen extends basis_db } //laden des Datensatzes - $qry = "SELECT * FROM campus.tbl_infoscreen WHERE infoscreen_id='".addslashes($infoscreen_id)."';"; + $qry = "SELECT * FROM campus.tbl_infoscreen WHERE infoscreen_id=".$this->db_add_param($infoscreen_id, FHC_INTEGER).";"; if($this->db_query($qry)) { @@ -105,7 +105,7 @@ class infoscreen extends basis_db } //laden des Datensatzes - $qry = "SELECT * FROM campus.tbl_infoscreen_content WHERE infoscreen_content_id='".addslashes($infoscreen_content_id)."';"; + $qry = "SELECT * FROM campus.tbl_infoscreen_content WHERE infoscreen_content_id=".$this->db_add_param($infoscreen_content_id, FHC_INTEGER).";"; if($this->db_query($qry)) { @@ -142,7 +142,7 @@ class infoscreen extends basis_db */ public function getAll() { - $qry = "SELECT * FROM campus.tbl_infoscreen ORDER BY bezeichnung"; + $qry = "SELECT * FROM campus.tbl_infoscreen ORDER BY bezeichnung;"; if($result = $this->db_query($qry)) { @@ -179,43 +179,43 @@ class infoscreen extends basis_db if($new) { $qry = "BEGIN;INSERT INTO campus.tbl_infoscreen(bezeichnung, beschreibung, ipadresse) VALUES(". - $this->addslashes($this->bezeichnung).','. - $this->addslashes($this->beschreibung).','. - $this->addslashes($this->ipadresse).');'; + $this->db_add_param($this->bezeichnung).','. + $this->db_add_param($this->beschreibung).','. + $this->db_add_param($this->ipadresse).');'; } else { $qry = 'UPDATE campus.tbl_infoscreen SET '. - ' bezeichnung='.$this->addslashes($this->bezeichnung).','. - ' beschreibung='.$this->addslashes($this->beschreibung).','. - ' ipadresse='.$this->addslashes($this->ipadresse).' '. - ' WHERE infoscreen_id='.$this->addslashes($this->infoscreen_id).';'; + ' bezeichnung='.$this->db_add_param($this->bezeichnung).','. + ' beschreibung='.$this->db_add_param($this->beschreibung).','. + ' ipadresse='.$this->db_add_param($this->ipadresse).' '. + ' WHERE infoscreen_id='.$this->db_add_param($this->infoscreen_id).';'; } if($this->db_query($qry)) { if($new) { - $qry = "SELECT currval('campus.seq_infoscreen_infoscreen_id') as id"; + $qry = "SELECT currval('campus.seq_infoscreen_infoscreen_id') as id;"; if($result = $this->db_query($qry)) { if($row = $this->db_fetch_object($result)) { $this->infoscreen_id = $row->id; - $this->db_query('COMMIT'); + $this->db_query('COMMIT;'); return true; } else { $this->errormsg='Fehler beim Auslesen der Sequence'; - $this->db_query('ROLLBACK'); + $this->db_query('ROLLBACK;'); return false; } } else { $this->errormsg='Fehler beim Auslesen der Sequence'; - $this->db_query('ROLLBACK'); + $this->db_query('ROLLBACK;'); return false; } } @@ -243,53 +243,53 @@ class infoscreen extends basis_db { $qry = "BEGIN;INSERT INTO campus.tbl_infoscreen_content(infoscreen_id, content_id, gueltigvon, gueltigbis, refreshzeit, insertamum, insertvon, updateamum, updatevon) VALUES(". - $this->addslashes($this->infoscreen_id).','. - $this->addslashes($this->content_id).','. - $this->addslashes($this->gueltigvon).','. - $this->addslashes($this->gueltigbis).','. - $this->addslashes($this->refreshzeit).','. - $this->addslashes($this->insertamum).','. - $this->addslashes($this->insertvon).','. - $this->addslashes($this->updateamum).','. - $this->addslashes($this->updatevon).');'; + $this->db_add_param($this->infoscreen_id, FHC_INTEGER).','. + $this->db_add_param($this->content_id, FHC_INTEGER).','. + $this->db_add_param($this->gueltigvon).','. + $this->db_add_param($this->gueltigbis).','. + $this->db_add_param($this->refreshzeit).','. + $this->db_add_param($this->insertamum).','. + $this->db_add_param($this->insertvon).','. + $this->db_add_param($this->updateamum).','. + $this->db_add_param($this->updatevon).');'; } else { $qry = 'UPDATE campus.tbl_infoscreen_content SET '. - ' infoscreen_id='.$this->addslashes($this->infoscreen_id).','. - ' content_id='.$this->addslashes($this->content_id).','. - ' gueltigvon='.$this->addslashes($this->gueltigvon).','. - ' gueltigbis='.$this->addslashes($this->gueltigbis).','. - ' refreshzeit='.$this->addslashes($this->refreshzeit).','. - ' updateamum='.$this->addslashes($this->updateamum).','. - ' updatevon='.$this->addslashes($this->updatevon).' '. - ' WHERE infoscreen_content_id='.$this->addslashes($this->infoscreen_content_id).';'; + ' infoscreen_id='.$this->db_add_param($this->infoscreen_id, FHC_INTEGER).','. + ' content_id='.$this->db_add_param($this->content_id, FHC_INTEGER).','. + ' gueltigvon='.$this->db_add_param($this->gueltigvon).','. + ' gueltigbis='.$this->db_add_param($this->gueltigbis).','. + ' refreshzeit='.$this->db_add_param($this->refreshzeit).','. + ' updateamum='.$this->db_add_param($this->updateamum).','. + ' updatevon='.$this->db_add_param($this->updatevon).' '. + ' WHERE infoscreen_content_id='.$this->db_add_param($this->infoscreen_content_id, FHC_INTEGER).';'; } if($this->db_query($qry)) { if($new) { - $qry = "SELECT currval('campus.seq_infoscreen_content_infoscreen_content_id') as id"; + $qry = "SELECT currval('campus.seq_infoscreen_content_infoscreen_content_id') as id;"; if($result = $this->db_query($qry)) { if($row = $this->db_fetch_object($result)) { $this->infoscreen_content_id = $row->id; - $this->db_query('COMMIT'); + $this->db_query('COMMIT;'); return true; } else { $this->errormsg='Fehler beim Auslesen der Sequence'; - $this->db_query('ROLLBACK'); + $this->db_query('ROLLBACK;'); return false; } } else { $this->errormsg='Fehler beim Auslesen der Sequence'; - $this->db_query('ROLLBACK'); + $this->db_query('ROLLBACK;'); return false; } } @@ -309,7 +309,7 @@ class infoscreen extends basis_db */ public function getInfoscreen($ipadresse) { - $qry = "SELECT * FROM campus.tbl_infoscreen WHERE ipadresse='".addslashes($ipadresse)."'"; + $qry = "SELECT * FROM campus.tbl_infoscreen WHERE ipadresse=".$this->db_add_param($ipadresse).';'; if($this->db_query($qry)) { if($row = $this->db_fetch_object()) @@ -351,12 +351,12 @@ class infoscreen extends basis_db FROM campus.tbl_infoscreen_content WHERE - (infoscreen_id='".addslashes($infoscreen_id)."' OR infoscreen_id is null)"; + (infoscreen_id=".$this->db_add_param($infoscreen_id, FHC_INTEGER)." OR infoscreen_id is null)"; if($aktuell) $qry.=" AND (gueltigvon<=now() OR gueltigvon is null) AND (gueltigbis>=now() OR gueltigbis is null)"; - $qry.=" ORDER BY infoscreen_content_id"; + $qry.=" ORDER BY infoscreen_content_id;"; if($result = $this->db_query($qry)) { while($row = $this->db_fetch_object($result)) @@ -398,7 +398,7 @@ class infoscreen extends basis_db $this->errormsg = 'ID ist ungueltig'; return false; } - $qry = "DELETE FROM campus.tbl_infoscreen_content WHERE infoscreen_content_id='".addslashes($infoscreen_content_id)."'"; + $qry = "DELETE FROM campus.tbl_infoscreen_content WHERE infoscreen_content_id=".$this->db_add_param($infoscreen_content_id, FHC_INTEGER).';'; if($this->db_query($qry)) return true; else