Okumura's Blog

Moodleを使っているところはMoodle Security CenterのRSSかメールニュースを購読すべきである。今日の発表によればMoodle 1.6.xにSQL injectionの穴。blog/index.phpの23行目

$tag = s(urldecode(optional_param('tag', '', PARAM_NOTAGS)));

を

$tag = optional_param('tag', '', PARAM_NOTAGS);

に書き直せばよい。