diff --git a/include/webservicelog.class.php b/include/webservicelog.class.php index 93378211b..6613ec25e 100644 --- a/include/webservicelog.class.php +++ b/include/webservicelog.class.php @@ -59,7 +59,7 @@ class webservicelog extends basis_db } $qry ="SELECT * FROM system.tbl_webservicelog WHERE - webservicelog_id = '".addslashes($webservicelog_id)."';"; + webservicelog_id =".$this->db_add_param($webservicelog_id, FHC_INTEGER, false).";"; if($this->db_query($qry)) { @@ -97,13 +97,14 @@ class webservicelog extends basis_db if(is_null($new)) $new = $this->new; - // insert - $qry ="INSERT INTO system.tbl_webservicelog(webservicetyp_kurzbz, request_id, beschreibung, request_data, execute_time, execute_user) VALUES ('". - addslashes($this->webservicetyp_kurzbz)."','". - addslashes($this->request_id)."','". - addslashes($this->beschreibung)."','". - addslashes($this->request_data)."','now()','". - addslashes($this->execute_user)."');"; + // insert + $qry ="INSERT INTO system.tbl_webservicelog(webservicetyp_kurzbz, request_id, beschreibung, + request_data, execute_time, execute_user) VALUES (". + $this->db_add_param($this->webservicetyp_kurzbz).",". + $this->db_add_param($this->request_id).",". + $this->db_add_param($this->beschreibung).",". + $this->db_add_param($this->request_data).",now(),". + $this->db_add_param($this->execute_user).");"; if($this->db_query($qry)) { @@ -112,7 +113,6 @@ class webservicelog extends basis_db else { $this->errormsg = "Fehler bei Insert/Update aufgetreten."; - $this->errormsg = $qry; return false; } } @@ -131,7 +131,7 @@ class webservicelog extends basis_db } $qry ="SELECT * FROM system.tbl_webservicelog WHERE - webservicetyp_kurzbz ='".addslashes($kurzbz)."';"; + webservicetyp_kurzbz =".$this->db_add_param($kurzbz).";"; if($this->db_query($qry)) { diff --git a/include/zeitaufzeichnung.class.php b/include/zeitaufzeichnung.class.php index dbcad6aca..7f70809ee 100644 --- a/include/zeitaufzeichnung.class.php +++ b/include/zeitaufzeichnung.class.php @@ -46,8 +46,6 @@ class zeitaufzeichnung extends basis_db public $updatevon; // varchar(16) public $projekt_kurzbz; // varchar(16) - - /** * Konstruktor * @param $zeitaufzeichnung_id ID der Zeitaufzeichnung die geladen werden soll (Default=null) @@ -75,7 +73,7 @@ class zeitaufzeichnung extends basis_db } //Daten aus der Datenbank lesen - $qry = "SELECT * FROM campus.tbl_zeitaufzeichnung WHERE zeitaufzeichnung_id='$zeitaufzeichnung_id'"; + $qry = "SELECT * FROM campus.tbl_zeitaufzeichnung WHERE zeitaufzeichnung_id=".$this->db_add_param($zeitaufzeichnung_id, FHC_INTEGER); if(!$this->db_query($qry)) { @@ -135,18 +133,18 @@ class zeitaufzeichnung extends basis_db //Neuen Datensatz einfuegen $qry='BEGIN;INSERT INTO campus.tbl_zeitaufzeichnung (uid, aktivitaet_kurzbz, start, ende, beschreibung, studiengang_kz, fachbereich_kurzbz, insertamum, insertvon, updateamum, updatevon, projekt_kurzbz) VALUES('. - $this->addslashes($this->uid).', '. - $this->addslashes($this->aktivitaet_kurzbz).', '. - $this->addslashes($this->start).', '. - $this->addslashes($this->ende).', '. - $this->addslashes($this->beschreibung).', '. - $this->addslashes($this->studiengang_kz).', '. - $this->addslashes($this->fachbereich_kurzbz).','. - $this->addslashes($this->insertamum).', '. - $this->addslashes($this->insertvon).', '. - $this->addslashes($this->updateamum).', '. - $this->addslashes($this->updatevon).', '. - $this->addslashes($this->projekt_kurzbz).');'; + $this->db_add_param($this->uid).', '. + $this->db_add_param($this->aktivitaet_kurzbz).', '. + $this->db_add_param($this->start).', '. + $this->db_add_param($this->ende).', '. + $this->db_add_param($this->beschreibung).', '. + $this->db_add_param($this->studiengang_kz).', '. + $this->db_add_param($this->fachbereich_kurzbz).','. + $this->db_add_param($this->insertamum).', '. + $this->db_add_param($this->insertvon).', '. + $this->db_add_param($this->updateamum).', '. + $this->db_add_param($this->updatevon).', '. + $this->db_add_param($this->projekt_kurzbz).');'; } else { @@ -155,22 +153,22 @@ class zeitaufzeichnung extends basis_db //Pruefen ob zeitaufzeichnung_id eine gueltige Zahl ist if(!is_numeric($this->zeitaufzeichnung_id)) { - $this->errormsg = 'zeitaufzeichnung_id muss eine gueltige Zahl sein: '.$this->zeitaufzeichnung_id."\n"; + $this->errormsg = 'zeitaufzeichnung_id muss eine gueltige Zahl sein'; return false; } $qry='UPDATE campus.tbl_zeitaufzeichnung SET'. - ' uid='.$this->addslashes($this->uid).', '. - ' aktivitaet_kurzbz='.$this->addslashes($this->aktivitaet_kurzbz).', '. - ' start='.$this->addslashes($this->start).', '. - ' ende='.$this->addslashes($this->ende).', '. - ' beschreibung='.$this->addslashes($this->beschreibung).', '. - ' studiengang_kz='.$this->addslashes($this->studiengang_kz).', '. - ' fachbereich_kurzbz='.$this->addslashes($this->fachbereich_kurzbz).', '. - ' updateamum='.$this->addslashes($this->updateamum).', '. - ' updatevon='.$this->addslashes($this->updatevon).', '. - ' projekt_kurzbz='.$this->addslashes($this->projekt_kurzbz).' '. - 'WHERE zeitaufzeichnung_id='.$this->zeitaufzeichnung_id.';'; + ' uid='.$this->db_add_param($this->uid).', '. + ' aktivitaet_kurzbz='.$this->db_add_param($this->aktivitaet_kurzbz).', '. + ' start='.$this->db_add_param($this->start).', '. + ' ende='.$this->db_add_param($this->ende).', '. + ' beschreibung='.$this->db_add_param($this->beschreibung).', '. + ' studiengang_kz='.$this->db_add_param($this->studiengang_kz).', '. + ' fachbereich_kurzbz='.$this->db_add_param($this->fachbereich_kurzbz).', '. + ' updateamum='.$this->db_add_param($this->updateamum).', '. + ' updatevon='.$this->db_add_param($this->updatevon).', '. + ' projekt_kurzbz='.$this->db_add_param($this->projekt_kurzbz).' '. + 'WHERE zeitaufzeichnung_id='.$this->db_add_param($this->zeitaufzeichnung_id, FHC_INTEGER, false); } if($this->db_query($qry)) @@ -220,12 +218,12 @@ class zeitaufzeichnung extends basis_db //Pruefen ob zeitaufzeichnung_id eine gueltige Zahl ist if(!is_numeric($zeitaufzeichnung_id) || $zeitaufzeichnung_id == '') { - $this->errormsg = 'zeitaufzeichnung_id muss eine gueltige Zahl sein'."\n"; + $this->errormsg = 'zeitaufzeichnung_id muss eine gueltige Zahl sein'; return false; } //loeschen des Datensatzes - $qry="DELETE FROM campus.tbl_zeitaufzeichnung WHERE zeitaufzeichnung_id='$zeitaufzeichnung_id';"; + $qry="DELETE FROM campus.tbl_zeitaufzeichnung WHERE zeitaufzeichnung_id=".$this->db_add_param($zeitaufzeichnung_id, FHC_INTEGER, false); if($this->db_query($qry)) { @@ -233,7 +231,7 @@ class zeitaufzeichnung extends basis_db } else { - $this->errormsg = 'Fehler beim Loeschen der Daten'."\n"; + $this->errormsg = 'Fehler beim Loeschen der Daten'; return false; } } diff --git a/include/zeitsperre.class.php b/include/zeitsperre.class.php index c1ba34d72..0f79d6b81 100644 --- a/include/zeitsperre.class.php +++ b/include/zeitsperre.class.php @@ -58,8 +58,11 @@ class zeitsperre extends basis_db } /** - * Laedt alle Zeitsperren bei denen - * ende>=now() ist und uid=$uid + * Laedt alle Zeitsperren eines Benutzers wo ende>=now() ist + * @param $uid + * @param $bisgrenze wenn true werden nur die Zeitsperren des + * aktuellen Geschaeftsjahres geholt (1.9.-31.8.) + * @return true wenn ok, false im Fehlerfall */ public function getzeitsperren($uid, $bisgrenze=true) { @@ -68,7 +71,7 @@ class zeitsperre extends basis_db $qry = "SELECT tbl_zeitsperre.*, tbl_zeitsperretyp.*, tbl_erreichbarkeit.farbe AS erreichbarkeit_farbe FROM (campus.tbl_zeitsperre JOIN campus.tbl_zeitsperretyp USING (zeitsperretyp_kurzbz)) LEFT JOIN campus.tbl_erreichbarkeit USING (erreichbarkeit_kurzbz) - WHERE mitarbeiter_uid='".addslashes($uid)."'"; + WHERE mitarbeiter_uid=".$this->db_add_param($uid); if($bisgrenze) { @@ -135,7 +138,7 @@ class zeitsperre extends basis_db return false; } - $qry = "SELECT * FROM campus.tbl_zeitsperre WHERE zeitsperre_id = '$zeitsperre_id';"; + $qry = "SELECT * FROM campus.tbl_zeitsperre WHERE zeitsperre_id=".$this->db_add_param($zeitsperre_id, FHC_INTEGER); if(!$this->db_query($qry)) { @@ -184,7 +187,7 @@ class zeitsperre extends basis_db return false; } - $qry = "DELETE FROM campus.tbl_zeitsperre WHERE zeitsperre_id='$zeitsperre_id'"; + $qry = "DELETE FROM campus.tbl_zeitsperre WHERE zeitsperre_id=".$this->db_add_param($zeitsperre_id, FHC_INTEGER); if($this->db_query($qry)) return true; @@ -246,21 +249,21 @@ class zeitsperre extends basis_db $qry = 'INSERT INTO campus.tbl_zeitsperre (zeitsperretyp_kurzbz, mitarbeiter_uid, bezeichnung,'. ' vondatum ,vonstunde, bisdatum, bisstunde, erreichbarkeit_kurzbz, vertretung_uid, insertamum,'. ' insertvon, updateamum, updatevon, freigabeamum, freigabevon) VALUES ('. - $this->addslashes($this->zeitsperretyp_kurzbz).', '. - $this->addslashes($this->mitarbeiter_uid).', '. - $this->addslashes($this->bezeichnung).', '. - $this->addslashes($this->vondatum).', '. - $this->addslashes($this->vonstunde).', '. - $this->addslashes($this->bisdatum).', '. - $this->addslashes($this->bisstunde).', '. - $this->addslashes($this->erreichbarkeit_kurzbz).', '. - $this->addslashes($this->vertretung_uid).', '. - $this->addslashes($this->insertamum).', '. - $this->addslashes($this->insertvon).', '. - $this->addslashes($this->updateamum).', '. - $this->addslashes($this->updatevon).','. - $this->addslashes($this->freigabeamum).','. - $this->addslashes($this->freigabevon).'); '; + $this->db_add_param($this->zeitsperretyp_kurzbz).', '. + $this->db_add_param($this->mitarbeiter_uid).', '. + $this->db_add_param($this->bezeichnung).', '. + $this->db_add_param($this->vondatum).', '. + $this->db_add_param($this->vonstunde).', '. + $this->db_add_param($this->bisdatum).', '. + $this->db_add_param($this->bisstunde).', '. + $this->db_add_param($this->erreichbarkeit_kurzbz).', '. + $this->db_add_param($this->vertretung_uid).', '. + $this->db_add_param($this->insertamum).', '. + $this->db_add_param($this->insertvon).', '. + $this->db_add_param($this->updateamum).', '. + $this->db_add_param($this->updatevon).','. + $this->db_add_param($this->freigabeamum).','. + $this->db_add_param($this->freigabevon).'); '; } else { @@ -274,22 +277,22 @@ class zeitsperre extends basis_db } $qry = 'UPDATE campus.tbl_zeitsperre SET '. - 'zeitsperretyp_kurzbz='.$this->addslashes($this->zeitsperretyp_kurzbz).', '. - 'mitarbeiter_uid='.$this->addslashes($this->mitarbeiter_uid).', '. - 'bezeichnung='.$this->addslashes($this->bezeichnung).', '. - 'vondatum='.$this->addslashes($this->vondatum).', '. - 'vonstunde='.$this->addslashes($this->vonstunde).', '. - 'bisdatum='.$this->addslashes($this->bisdatum).', '. - 'bisstunde='.$this->addslashes($this->bisstunde).', '. - 'erreichbarkeit_kurzbz='.$this->addslashes($this->erreichbarkeit_kurzbz).', '. - 'vertretung_uid='.$this->addslashes($this->vertretung_uid).', '. - 'insertamum='.$this->addslashes($this->insertamum).', '. - 'insertvon='.$this->addslashes($this->insertvon).', '. - 'freigabeamum='.$this->addslashes($this->freigabeamum).', '. - 'freigabevon='.$this->addslashes($this->freigabevon).', '. - 'updateamum='.$this->addslashes($this->updateamum).', '. - 'updatevon='.$this->addslashes($this->updatevon).' '. - 'WHERE zeitsperre_id = '.$this->addslashes($this->zeitsperre_id).';'; + 'zeitsperretyp_kurzbz='.$this->db_add_param($this->zeitsperretyp_kurzbz).', '. + 'mitarbeiter_uid='.$this->db_add_param($this->mitarbeiter_uid).', '. + 'bezeichnung='.$this->db_add_param($this->bezeichnung).', '. + 'vondatum='.$this->db_add_param($this->vondatum).', '. + 'vonstunde='.$this->db_add_param($this->vonstunde).', '. + 'bisdatum='.$this->db_add_param($this->bisdatum).', '. + 'bisstunde='.$this->db_add_param($this->bisstunde).', '. + 'erreichbarkeit_kurzbz='.$this->db_add_param($this->erreichbarkeit_kurzbz).', '. + 'vertretung_uid='.$this->db_add_param($this->vertretung_uid).', '. + 'insertamum='.$this->db_add_param($this->insertamum).', '. + 'insertvon='.$this->db_add_param($this->insertvon).', '. + 'freigabeamum='.$this->db_add_param($this->freigabeamum).', '. + 'freigabevon='.$this->db_add_param($this->freigabevon).', '. + 'updateamum='.$this->db_add_param($this->updateamum).', '. + 'updatevon='.$this->db_add_param($this->updatevon).' '. + 'WHERE zeitsperre_id = '.$this->db_add_param($this->zeitsperre_id, FHC_INTEGER).';'; } if($this->db_query($qry)) @@ -305,6 +308,7 @@ class zeitsperre extends basis_db /** * Liefert ZeitsperreTypen eines Tages + * @param $datum * @return string wenn ok, false im Fehlerfall */ public function getTyp($datum) @@ -350,15 +354,17 @@ class zeitsperre extends basis_db */ public function getSperreByDate($user, $datum, $stunde) { - $qry = "SELECT - * - FROM - campus.tbl_zeitsperre - WHERE - vondatum<='$datum' AND bisdatum>='$datum' AND - ((vondatum='$datum' AND vonstunde<='$stunde') OR vonstunde is null OR vondatum<>'$datum') AND - ((bisdatum='$datum' AND bisstunde>='$stunde') OR bisstunde is null OR bisdatum<>'$datum') AND - mitarbeiter_uid='$user'"; + $qry = " + SELECT + * + FROM + campus.tbl_zeitsperre + WHERE + vondatum<=".$this->db_add_param($datum)." + AND bisdatum>=".$this->db_add_param($datum)." AND + ((vondatum=".$this->db_add_param($datum)." AND vonstunde<=".$this->db_add_param($stunde).") OR vonstunde is null OR vondatum<>".$this->db_add_param($datum).") AND + ((bisdatum=".$this->db_add_param($datum)." AND bisstunde>=".$this->db_add_param($stunde).") OR bisstunde is null OR bisdatum<>".$this->db_add_param($datum).") AND + mitarbeiter_uid=".$this->db_add_param($user); if($result = $this->db_query($qry)) { @@ -413,17 +419,17 @@ class zeitsperre extends basis_db campus.tbl_zeitsperre WHERE zeitsperretyp_kurzbz='Urlaub' - AND mitarbeiter_uid='".addslashes($uid)."' + AND mitarbeiter_uid=".$this->db_add_param($uid)." AND ( - (vondatum BETWEEN '".addslashes($von)."' AND '".addslashes($bis)."') + (vondatum BETWEEN ".$this->db_add_param($von)." AND ".$this->db_add_param($bis).") OR - (bisdatum BETWEEN '".addslashes($von)."' AND '".addslashes($bis)."') + (bisdatum BETWEEN ".$this->db_add_param($von)." AND ".$this->db_add_param($bis).") OR - (vondatum<='".addslashes($von)."' AND bisdatum>='".addslashes($bis)."') + (vondatum<=".$this->db_add_param($von)." AND bisdatum>=".$this->db_add_param($bis).") )"; if(!is_null($id)) - $qry.=" AND zeitsperre_id<>'".addslashes($id)."'"; + $qry.=" AND zeitsperre_id<>".$this->db_add_param($id); if($result = $this->db_query($qry)) { diff --git a/include/zeitwunsch.class.php b/include/zeitwunsch.class.php index c34199a9e..ca15fdb4d 100644 --- a/include/zeitwunsch.class.php +++ b/include/zeitwunsch.class.php @@ -122,23 +122,25 @@ class zeitwunsch extends basis_db { $qry = 'INSERT INTO campus.tbl_zeitwunsch (mitarbeiter_uid, tag, stunde, gewicht, insertamum, insertvon, updateamum, updatevon) VALUES('. - $this->addslashes($this->mitarbeiter_uid).','. - $this->addslashes($this->tag).','. - $this->addslashes($this->stunde).','. - $this->addslashes($this->gewicht).','. - $this->addslashes($this->insertamum).','. - $this->addslashes($this->insertvon).','. - $this->addslashes($this->updateamum).','. - $this->addslasheS($this->updatevon).');'; + $this->db_add_param($this->mitarbeiter_uid).','. + $this->db_add_param($this->tag, FHC_INTEGER).','. + $this->db_add_param($this->stunde, FHC_INTEGER).','. + $this->db_add_param($this->gewicht, FHC_INTEGER).','. + $this->db_add_param($this->insertamum).','. + $this->db_add_param($this->insertvon).','. + $this->db_add_param($this->updateamum).','. + $this->db_add_param($this->updatevon).');'; } else { $qry = 'UPDATE campus.tbl_zeitwunsch SET'. - ' gewicht='.$this->addslashes($this->gewicht).', '. - ' updateamum='.$this->addslashes($this->updateamum).', '. - ' updatevon='.$this->addslashes($this->updatevon). - " WHERE mitarbeiter_uid='".addslashes($this->mitarbeiter_uid)."' AND - tag='".addslashes($this->tag)."' AND stunde='".addslashes($this->stunde)."'"; + ' gewicht='.$this->db_add_param($this->gewicht, FHC_INTEGER).', '. + ' updateamum='.$this->db_add_param($this->updateamum).', '. + ' updatevon='.$this->db_add_param($this->updatevon). + " WHERE + mitarbeiter_uid=".$this->db_add_param($this->mitarbeiter_uid, FHC_STRING, false)." + AND tag=".$this->db_add_param($this->tag, FHC_INTEGER)." + AND stunde=".$this->db_add_param($this->stunde, FHC_INTEGER); } if($this->db_query($qry)) @@ -161,7 +163,7 @@ class zeitwunsch extends basis_db public function loadPerson($uid,$datum=null) { // Zeitwuensche abfragen - if(!$this->db_query("SELECT * FROM campus.tbl_zeitwunsch WHERE mitarbeiter_uid='".addslashes($uid)."'")) + if(!$this->db_query("SELECT * FROM campus.tbl_zeitwunsch WHERE mitarbeiter_uid=".$this->db_add_param($uid))) { $this->errormsg = $this->db_last_error(); return false; @@ -185,9 +187,16 @@ class zeitwunsch extends basis_db $ende=date('Y-m-d',jump_day($beginn,7)); // Zeitsperren abfragen - $sql="SELECT vondatum,vonstunde,bisdatum,bisstunde - FROM campus.tbl_zeitsperre - WHERE mitarbeiter_uid='".addslashes($uid)."' AND vondatum<='$ende' AND bisdatum>='$start'"; + $sql=" + SELECT + vondatum,vonstunde,bisdatum,bisstunde + FROM + campus.tbl_zeitsperre + WHERE + mitarbeiter_uid=".$this->db_add_param($uid)." + AND vondatum<=".$this->db_add_param($ende)." + AND bisdatum>=".$this->db_add_param($start); + if(!$this->db_query($sql)) { $this->errormsg=$this->db_last_error(); @@ -250,7 +259,7 @@ class zeitwunsch extends basis_db $sql_query_leid=''; $sql_query_le='SELECT DISTINCT mitarbeiter_uid FROM campus.vw_lehreinheit WHERE '; for ($i=0;$idb_add_param($le_id[$i], FHC_INTEGER); $sql_query_leid=mb_substr($sql_query_leid,3); $sql_query_le.=$sql_query_leid; @@ -278,9 +287,16 @@ class zeitwunsch extends basis_db $ende=date('Y-m-d',jump_day($beginn,7)); // Zeitsperren abfragen - $sql="SELECT vondatum,vonstunde,bisdatum,bisstunde - FROM campus.tbl_zeitsperre - WHERE mitarbeiter_uid IN ($sql_query_le) AND vondatum<='$ende' AND bisdatum>='$start'"; + $sql=" + SELECT + vondatum,vonstunde,bisdatum,bisstunde + FROM + campus.tbl_zeitsperre + WHERE + mitarbeiter_uid IN ($sql_query_le) + AND vondatum<=".$this->db_add_param($ende)." + AND bisdatum>=".$this->db_add_param($start); + if(!$this->db_query($sql)) { $this->errormsg = $this->db_last_error(); @@ -338,9 +354,9 @@ class zeitwunsch extends basis_db { $qry = "SELECT 1 FROM campus.tbl_zeitwunsch WHERE - mitarbeiter_uid='".addslashes($uid)."' - AND stunde='".addslashes($stunde)."' - AND tag='".addslashes($tag)."';"; + mitarbeiter_uid=".$this->db_add_param($uid)." + AND stunde=".$this->db_add_param($stunde, FHC_INTEGER)." + AND tag=".$this->db_add_param($tag, FHC_INTEGER); if($this->db_query($qry)) { if($this->db_num_rows()>0) diff --git a/include/zeugnisnote.class.php b/include/zeugnisnote.class.php index 916ca5934..7ea6c3472 100644 --- a/include/zeugnisnote.class.php +++ b/include/zeugnisnote.class.php @@ -31,17 +31,17 @@ class zeugnisnote extends basis_db public $result=array(); //Tabellenspalten - public $lehrveranstaltung_id; /// \brief ID der Lehrveranstaltung in der DB + public $lehrveranstaltung_id; /// serial public $student_uid; // varchar(16) - public $studiensemester_kurzbz; // varchar(16) + public $studiensemester_kurzbz; // varchar(16) public $note; // smalint public $uebernahmedatum; // date - public $benotungsdatum; // date - public $updateamum; // timestamp + public $benotungsdatum; // date + public $updateamum; // timestamp public $updatevon; // varchar(16) - public $insertamum; // timestamp + public $insertamum; // timestamp public $insertvon; // varchar(16) - public $ext_id; // bigint + public $ext_id; // bigint public $bemerkung; // text public $lehrveranstaltung_bezeichung; @@ -51,9 +51,11 @@ class zeugnisnote extends basis_db /** * Konstruktor + * Laedt optional eine Zeugnisnote + * * @param $lehrveranstaltung_id - * $student_uid - * $studiensemester_kurzbz + * @param $student_uid + * @param $studiensemester_kurzbz */ public function __construct($lehrveranstaltung_id=null, $student_uid=null, $studiensemester_kurzbz=null) { @@ -65,9 +67,10 @@ class zeugnisnote extends basis_db /** * Laedt eine Zeugnisnote - * @param $lehrveranstaltung_id - * $student_uid - * $studiensemester_kurzbz + * + * @param $lehrveranstaltung_id + * @param $student_uid + * @param $studiensemester_kurzbz * @return true wenn ok, false im Fehlerfall */ public function load($lehrveranstaltung_id, $student_uid, $studiensemester_kurzbz) @@ -78,10 +81,14 @@ class zeugnisnote extends basis_db return false; } - $qry = "SELECT * FROM lehre.tbl_zeugnisnote WHERE - lehrveranstaltung_id='$lehrveranstaltung_id' AND - student_uid='".addslashes($student_uid)."' AND - studiensemester_kurzbz='".addslashes($studiensemester_kurzbz)."'"; + $qry = "SELECT + * + FROM + lehre.tbl_zeugnisnote + WHERE + lehrveranstaltung_id=".$this->db_add_param($lehrveranstaltung_id, FHC_INTEGER)." + AND student_uid=".$this->db_add_param($student_uid)." + AND studiensemester_kurzbz=".$this->db_add_param($studiensemester_kurzbz); if($this->db_query($qry)) { @@ -170,33 +177,34 @@ class zeugnisnote extends basis_db if($new) { //Neuen Datensatz einfuegen - $qry='INSERT INTO lehre.tbl_zeugnisnote (lehrveranstaltung_id, student_uid, studiensemester_kurzbz, note, uebernahmedatum, benotungsdatum, bemerkung, - updateamum, updatevon, insertamum, insertvon, ext_id) VALUES('. - $this->addslashes($this->lehrveranstaltung_id).', '. - $this->addslashes($this->student_uid).', '. - $this->addslashes($this->studiensemester_kurzbz).', '. - $this->addslashes($this->note).', '. - $this->addslashes($this->uebernahmedatum).', '. - $this->addslashes($this->benotungsdatum).', '. - $this->addslashes($this->bemerkung).', '. - $this->addslashes($this->updateamum).', '. - $this->addslashes($this->updatevon).', '. - $this->addslashes($this->insertamum).', '. - $this->addslashes($this->insertvon).', '. - $this->addslashes($this->ext_id).');'; + $qry='INSERT INTO lehre.tbl_zeugnisnote (lehrveranstaltung_id, student_uid, + studiensemester_kurzbz, note, uebernahmedatum, benotungsdatum, bemerkung, + updateamum, updatevon, insertamum, insertvon, ext_id) VALUES('. + $this->db_add_param($this->lehrveranstaltung_id, FHC_INTEGER).', '. + $this->db_add_param($this->student_uid).', '. + $this->db_add_param($this->studiensemester_kurzbz).', '. + $this->db_add_param($this->note).', '. + $this->db_add_param($this->uebernahmedatum).', '. + $this->db_add_param($this->benotungsdatum).', '. + $this->db_add_param($this->bemerkung).', '. + $this->db_add_param($this->updateamum).', '. + $this->db_add_param($this->updatevon).', '. + $this->db_add_param($this->insertamum).', '. + $this->db_add_param($this->insertvon).', '. + $this->db_add_param($this->ext_id).');'; } else { $qry='UPDATE lehre.tbl_zeugnisnote SET '. - 'note='.$this->addslashes($this->note).', '. - 'uebernahmedatum='.$this->addslashes($this->uebernahmedatum).', '. - 'benotungsdatum='.$this->addslashes($this->benotungsdatum).', '. - 'bemerkung='.$this->addslashes($this->bemerkung).', '. - 'updateamum= '.$this->addslashes($this->updateamum).', '. - 'updatevon='.$this->addslashes($this->updatevon).' '. - 'WHERE lehrveranstaltung_id='.$this->addslashes($this->lehrveranstaltung_id).' '. - 'AND student_uid='.$this->addslashes($this->student_uid).' '. - 'AND studiensemester_kurzbz='.$this->addslashes($this->studiensemester_kurzbz).';'; + 'note='.$this->db_add_param($this->note).', '. + 'uebernahmedatum='.$this->db_add_param($this->uebernahmedatum).', '. + 'benotungsdatum='.$this->db_add_param($this->benotungsdatum).', '. + 'bemerkung='.$this->db_add_param($this->bemerkung).', '. + 'updateamum= '.$this->db_add_param($this->updateamum).', '. + 'updatevon='.$this->db_add_param($this->updatevon).' '. + 'WHERE lehrveranstaltung_id='.$this->db_add_param($this->lehrveranstaltung_id, FHC_INTEGER).' '. + 'AND student_uid='.$this->db_add_param($this->student_uid).' '. + 'AND studiensemester_kurzbz='.$this->db_add_param($this->studiensemester_kurzbz).';'; } if($this->db_query($qry)) @@ -220,9 +228,9 @@ class zeugnisnote extends basis_db public function delete($lehrveranstaltung_id, $student_uid, $studiensemester_kurzbz) { $qry = "DELETE FROM lehre.tbl_zeugnisnote WHERE - lehrveranstaltung_id='".addslashes($lehrveranstaltung_id)."' AND - student_uid='".addslashes($student_uid)."' AND - studiensemester_kurzbz='".addslashes($studiensemester_kurzbz)."'"; + lehrveranstaltung_id=".$this->db_add_param($lehrveranstaltung_id, FHC_INTEGER, false)." AND + student_uid=".$this->db_add_param($student_uid)." AND + studiensemester_kurzbz=".$this->db_add_param($studiensemester_kurzbz); if($this->db_query($qry)) return true; @@ -244,18 +252,18 @@ class zeugnisnote extends basis_db { $where=''; if($lehrveranstaltung_id!=null) - $where.=" AND vw_student_lehrveranstaltung.lehrveranstaltung_id='".addslashes($lehrveranstaltung_id)."'"; + $where.=" AND vw_student_lehrveranstaltung.lehrveranstaltung_id=".$this->db_add_param($lehrveranstaltung_id); if($student_uid!=null) - $where.=" AND uid='".addslashes($student_uid)."'"; + $where.=" AND uid=".$this->db_add_param($student_uid); if($studiensemester_kurzbz!=null) - $where.=" AND vw_student_lehrveranstaltung.studiensemester_kurzbz='".addslashes($studiensemester_kurzbz)."'"; + $where.=" AND vw_student_lehrveranstaltung.studiensemester_kurzbz=".$this->db_add_param($studiensemester_kurzbz); $where2=''; if($lehrveranstaltung_id!=null) - $where2.=" AND lehrveranstaltung_id='".addslashes($lehrveranstaltung_id)."'"; + $where2.=" AND lehrveranstaltung_id=".$this->db_add_param($lehrveranstaltung_id, FHC_INTEGER); if($student_uid!=null) - $where2.=" AND student_uid='".addslashes($student_uid)."'"; + $where2.=" AND student_uid=".$this->db_add_param($student_uid); if($studiensemester_kurzbz!=null) - $where2.=" AND studiensemester_kurzbz='".addslashes($studiensemester_kurzbz)."'"; + $where2.=" AND studiensemester_kurzbz=".$this->db_add_param($studiensemester_kurzbz); $qry = "SELECT vw_student_lehrveranstaltung.lehrveranstaltung_id, uid, vw_student_lehrveranstaltung.studiensemester_kurzbz, note, uebernahmedatum, benotungsdatum, @@ -317,7 +325,7 @@ class zeugnisnote extends basis_db $obj->ects = $row->ects; $obj->sort = $row->sort; $obj->studiengang_kz = $row->studiengang_kz; - $obj->zeugnis = ($row->zeugnis=='t'?true:false); + $obj->zeugnis = $this->db_parse_bool($row->zeugnis); $obj->lv_lehrform_kurzbz = $row->lv_lehrform_kurzbz; $this->result[] = $obj;