Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

[4.2] Add check invalid filename #5760

Merged
merged 3 commits into from
Sep 5, 2022
Merged

[4.2] Add check invalid filename #5760

merged 3 commits into from
Sep 5, 2022

Conversation

nanasess
Copy link
Contributor

@nanasess nanasess commented Sep 1, 2022

概要(Overview・Refs Issue)

closes #5743
ファイル管理機能のアップロード可能なファイル名を 英数字, 半角スペース, _-.() のみ許可する

方針(Policy)

 - ファイルアップロード時に正規表現 \A[a-zA-Z0-9_\-\.\(\) ]+\Z にてチェックする

実装に関する補足(Appendix)

テスト(Test)

ユニットテストを追加

相談(Discussion)

マイナーバージョン互換性保持のための制限事項チェックリスト

  • 既存機能の仕様変更はありません
  • フックポイントの呼び出しタイミングの変更はありません
  • フックポイントのパラメータの削除・データ型の変更はありません
  • twigファイルに渡しているパラメータの削除・データ型の変更はありません
  • Serviceクラスの公開関数の、引数の削除・データ型の変更はありません
  • 入出力ファイル(CSVなど)のフォーマット変更はありません

レビュワー確認項目

  • 動作確認
  • コードレビュー
  • E2E/Unit テスト確認(テストの追加・変更が必要かどうか)
  • 互換性が保持されているか
  • セキュリティ上の問題がないか
    • 権限を超えた操作が可能にならないか
    • 不要なファイルアップロードがないか
    • 外部へ公開されるファイルや機能の追加ではないか
    • テンプレートでのエスケープ漏れがないか

@nanasess nanasess changed the title Add check invalid filename [4.2] Add check invalid filename Sep 1, 2022
@chihiro-adachi
Copy link
Contributor

@nanasess
Unit Testが落ちているようなのでご確認いただけますでしょうか。

@chihiro-adachi chihiro-adachi added this to the 4.2.0 milestone Sep 1, 2022
@chihiro-adachi chihiro-adachi added the security security label Sep 1, 2022
@codecov-commenter
Copy link

codecov-commenter commented Sep 1, 2022
edited
Loading

Codecov Report

Merging #5760 (d0023c8) into 4.2 (0c42641) will increase coverage by 0.00%.
The diff coverage is 66.66%.

@@            Coverage Diff            @@
##                4.2    #5760   +/-   ##
=========================================
  Coverage     78.84%   78.85%           
- Complexity     6273     6275    +2     
=========================================
  Files           469      469           
  Lines         21058    21065    +7     
=========================================
+ Hits          16604    16611    +7     
  Misses         4454     4454
Flag Coverage Δ
E2E 64.85% <66.66%> (+0.01%) ⬆️
Unit 77.60% <72.72%> (+<0.01%) ⬆️

Flags with carried forward coverage won't be shown. Click here to find out more.

Impacted Files Coverage Δ
...r/Admin/Setting/System/TwoFactorAuthController.php 0.00% <0.00%> (ø)
src/Eccube/Form/Type/Admin/CustomerType.php 95.74% <ø> (+2.12%) ⬆️
src/Eccube/Form/Type/RepeatedPasswordType.php 85.00% <ø> (ø)
src/Eccube/Twig/Extension/IntlExtension.php 82.60% <0.00%> (ø)
...Eccube/Controller/Admin/Content/FileController.php 84.58% <50.00%> (-0.28%) ⬇️
src/Eccube/Form/Type/Admin/MemberType.php 91.37% <85.71%> (+0.81%) ⬆️
.../Controller/Admin/Setting/System/LogController.php 74.41% <100.00%> (ø)
...be/Service/PurchaseFlow/Processor/TaxProcessor.php 82.45% <0.00%> (-1.76%) ⬇️
src/Eccube/Controller/Block/CalendarController.php 95.31% <0.00%> (+1.56%) ⬆️

Help us with your feedback. Take ten seconds to tell us how you rate us. Have a feature suggestion? Share it here.

@nanasess nanasess force-pushed the add-check-invalid-filename branch from 1f3c9db to 1d2c141 Compare September 2, 2022 01:18
@chihiro-adachi
Copy link
Contributor

@nanasess
ありがとうございます。修正確認しました。

@chihiro-adachi chihiro-adachi merged commit babbb9a into EC-CUBE:4.2 Sep 5, 2022
@chihiro-adachi chihiro-adachi mentioned this pull request Sep 5, 2022
Closed
@chihiro-adachi chihiro-adachi mentioned this pull request Sep 21, 2022
Closed
@nanasess nanasess deleted the add-check-invalid-filename branch October 3, 2022 07:54
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Reviewers
No reviews
Assignees
No one assigned
Labels
security security
Projects
None yet
Milestone
4.2.0
Development

Successfully merging this pull request may close these issues.
3 participants
@nanasess @chihiro-adachi @codecov-commenter