sql injection fix for chart_location_activity
authorunknown <kevinyeh@alum.mit.edu>
Fri, 30 Nov 2012 21:22:47 +0000 (30 16:22 -0500)
committerunknown <kevinyeh@alum.mit.edu>
Fri, 30 Nov 2012 22:59:39 +0000 (30 17:59 -0500)
interface/reports/chart_location_activity.php

index 3a23177..ca76821 100644 (file)
@@ -61,8 +61,8 @@ $curr_pid = $pid;
 $ptrow = array();
 if (!empty($form_patient_id)) {
   $query = "SELECT pid, pubpid, fname, mname, lname FROM patient_data WHERE " .
-    "pubpid = '$form_patient_id' ORDER BY pid LIMIT 1";
-  $ptrow = sqlQuery($query);
+    "pubpid = ? ORDER BY pid LIMIT 1";
+  $ptrow = sqlQuery($query,array($form_patient_id));
   if (empty($ptrow)) {
     $curr_pid = 0;
     echo "<font color='red'>" . xl('Chart ID') . " '" . $form_patient_id . "' " . xl('not found!') . "</font><br />&nbsp;<br />";
@@ -73,8 +73,8 @@ if (!empty($form_patient_id)) {
 }
 else if (!empty($curr_pid)) {
   $query = "SELECT pid, pubpid, fname, mname, lname FROM patient_data WHERE " .
-    "pid = '$curr_pid'";
-  $ptrow = sqlQuery($query);
+    "pid = ?";
+  $ptrow = sqlQuery($query,array($curr_pid));
   $form_patient_id = $ptrow['pubpid'];
 }
 if (!empty($ptrow)) {