projects / evergreen / pines.git / commit
? search:
summary | shortlog | log | commit | commitdiff | tree
(parent: 21f6577) | patch
Changes to the treatment of ORDER BY:
authorscottmk <scottmk@dcc99617-32d9-48b4-a31d-7c20da2025e4>
Wed, 13 Oct 2010 18:53:56 +0000 (18:53 +0000)
committerscottmk <scottmk@dcc99617-32d9-48b4-a31d-7c20da2025e4>
Wed, 13 Oct 2010 18:53:56 +0000 (18:53 +0000)
commit5face2671982f6b4749a901e2601e0950258ea52
tree110c89da87d78fdb031d8187293a4b8123c1caedtree
parent21f65777246ad37fe6be21026b22c3d292bf8495commit | diff
Changes to the treatment of ORDER BY:

1. For json_query: when ORDER BY is expressed as an object keyed on class
(instead of an array of field specifications), and the class is not in
scope, error out instead of silently ignoring the class.

The other changes affect only methods other than json_query:

2. When the ORDER BY list is provided as a raw text string: block any
string containing a semicolon, in order to block simple SQL injections.
For now we make no exceptions for quoted semicolons, which are not
likely ever to appear an an ORDER BY clause.

3. Keep virtual fields out of the ORDER BY clause.  For now we silently
ignore them, as we ignore non-existent fields.  In both cases we should
perhaps error out.

4. Don't require that a class referenced in the ORDER BY clause also be
referenced in the SELECT clause.  Just make sure it's in scope.

M    Open-ILS/src/c-apps/oils_sql.c

git-svn-id: svn://svn.open-ils.org/ILS/trunk@18321 dcc99617-32d9-48b4-a31d-7c20da2025e4
Open-ILS/src/c-apps/oils_sql.c diff | blob | history
Evergreen working repo (PINES)