Merge remote-tracking branch 'origin/master' into inicert

.gitignore

@@ -17,3 +17,4 @@ naver*.html
 initests01/
 SIRsoft000/
 config.php
+pma/

adm/menu_list_update.php

@@ -26,6 +26,7 @@ for ($i=0; $i<$count; $i++)
     }
 
     $_POST['me_link'][$i] = is_array($_POST['me_link']) ? clean_xss_tags(clean_xss_attributes(preg_replace('/[ ]{2,}|[\t]/', '', $_POST['me_link'][$i]), 1)) : '';
+    $_POST['me_link'][$i] = html_purifier($_POST['me_link'][$i]);
 
     $code    = is_array($_POST['code']) ? strip_tags($_POST['code'][$i]) : '';
     $me_name = is_array($_POST['me_name']) ? strip_tags($_POST['me_name'][$i]) : '';

adm/shop_admin/configform.php

@@ -625,7 +625,7 @@ if(!$default['de_kakaopay_cancelpwd']){
         <tr id="inicis_vbank_url" class="pg_vbank_url">
             <th scope="row">KG이니시스 가상계좌 입금통보 URL</th>
             <td>
-                <?php echo help("KG이니시스 가상계좌 사용시 다음 주소를 <strong><a href=\"https://iniweb.inicis.com/\" target=\"_blank\">KG이니시스 관리자</a> &gt; 거래조회 &gt; 가상계좌 &gt; 입금통보방식선택 &gt; URL 수신 설정</strong>에 넣으셔야 상점에 자동으로 입금 통보됩니다."); ?>
+                <?php echo help("KG이니시스 가상계좌 사용시 다음 주소를 <strong><a href=\"https://iniweb.inicis.com/\" target=\"_blank\">KG이니시스 관리자</a> &gt; 거래내역 &gt; 가상계좌 &gt; 입금통보방식선택 &gt; URL 수신 설정</strong>에 넣으셔야 상점에 자동으로 입금 통보됩니다."); ?>
                 <?php echo G5_SHOP_URL; ?>/settle_inicis_common.php</td>
         </tr>
         <tr>
@@ -919,6 +919,7 @@ if(!$default['de_kakaopay_cancelpwd']){
                 <input type="text" name="de_kakaopay_hashkey" value="<?php echo get_sanitize_input($default['de_kakaopay_hashkey']); ?>" id="de_kakaopay_hashkey" class="frm_input" size="20">
             </td>
         </tr>
+        <?php if (defined('G5_SHOP_DIRECT_NAVERPAY') && G5_SHOP_DIRECT_NAVERPAY) { ?>
         <tr class="naver_info_fld">
             <th scope="row">
                 <label for="de_naverpay_mid">네이버페이 가맹점 아이디</label>
@@ -982,6 +983,7 @@ if(!$default['de_kakaopay_cancelpwd']){
                 <input type="text" name="de_naverpay_sendcost" value="<?php echo get_sanitize_input($default['de_naverpay_sendcost']); ?>" id="de_naverpay_sendcost" class="frm_input" size="70">
              </td>
         </tr>
+        <?php } // defined('G5_SHOP_DIRECT_NAVERPAY') ?>
         <tr>
             <th scope="row">에스크로 사용</th>
             <td>

adm/shop_admin/configformupdate.php

@@ -427,17 +427,19 @@ $sql = " update {$g5['g5_shop_default_table']}
                 de_kakaopay_enckey            = '{$de_kakaopay_enckey}',
                 de_kakaopay_hashkey           = '{$de_kakaopay_hashkey}',
                 de_kakaopay_cancelpwd         = '{$de_kakaopay_cancelpwd}',
-                de_naverpay_mid               = '{$de_naverpay_mid}',
-                de_naverpay_cert_key          = '{$de_naverpay_cert_key}',
-                de_naverpay_button_key        = '{$de_naverpay_button_key}',
-                de_naverpay_test              = '{$de_naverpay_test}',
-                de_naverpay_mb_id             = '{$de_naverpay_mb_id}',
-                de_naverpay_sendcost          = '{$de_naverpay_sendcost}',
                 de_member_reg_coupon_use      = '{$de_member_reg_coupon_use}',
                 de_member_reg_coupon_term     = '{$de_member_reg_coupon_term}',
                 de_member_reg_coupon_price    = '{$de_member_reg_coupon_price}',
                 de_member_reg_coupon_minimum  = '{$de_member_reg_coupon_minimum}'
                 ";
+if (defined('G5_SHOP_DIRECT_NAVERPAY') && G5_SHOP_DIRECT_NAVERPAY) {
+    $sql .= "  ,de_naverpay_mid               = '{$de_naverpay_mid}',
+                de_naverpay_cert_key          = '{$de_naverpay_cert_key}',
+                de_naverpay_button_key        = '{$de_naverpay_button_key}',
+                de_naverpay_test              = '{$de_naverpay_test}',
+                de_naverpay_mb_id             = '{$de_naverpay_mb_id}',
+                de_naverpay_sendcost          = '{$de_naverpay_sendcost}' ";
+}
 sql_query($sql);
 
 // 환경설정 > 포인트 사용

adm/visit_delete.php

@@ -13,6 +13,9 @@ $row = sql_fetch($sql);
 
 $min_year = (int)substr($row['min_date'], 0, 4);
 $now_year = (int)substr(G5_TIME_YMD, 0, 4);
+if (!$min_year) {
+    $min_year = $now_year;
+}
 ?>
 
 <div class="local_ov01 local_ov">

bbs/board_head.php

@@ -7,7 +7,7 @@ if (G5_IS_MOBILE) {
     include_once(G5_BBS_PATH.'/_head.php');
     echo html_purifier(stripslashes($board['bo_mobile_content_head']));
 } else {
-    if(is_include_path_check($board['bo_include_head'])) {  //파일경로 체크
+    if($board['bo_include_head'] && is_include_path_check($board['bo_include_head'])) {  //파일경로 체크
         @include ($board['bo_include_head']);
     } else {    //파일경로가 올바르지 않으면 기본파일을 가져옴
         include_once(G5_BBS_PATH.'/_head.php');

bbs/board_tail.php

@@ -8,7 +8,7 @@ if (G5_IS_MOBILE) {
     include_once(G5_BBS_PATH.'/_tail.php');
 } else {
     echo html_purifier(stripslashes($board['bo_content_tail']));
-    if(is_include_path_check($board['bo_include_tail'])) {  //파일경로 체크
+    if($board['bo_include_tail'] && is_include_path_check($board['bo_include_tail'])) {  //파일경로 체크
         @include ($board['bo_include_tail']);
     } else {    //파일경로가 올바르지 않으면 기본파일을 가져옴
         include_once(G5_BBS_PATH.'/_tail.php');

bbs/qawrite_update.php

@@ -217,7 +217,7 @@ for ($i=1; $i<=$upload_count; $i++) {
         $upload[$i]['filesize'] = $filesize;
 
         // 아래의 문자열이 들어간 파일은 -x 를 붙여서 웹경로를 알더라도 실행을 하지 못하도록 함
-        $filename = preg_replace("/\.(php|pht|phtm|htm|cgi|pl|exe|jsp|asp|inc)/i", "$0-x", $filename);
+        $filename = preg_replace("/\.(php|pht|phtm|htm|cgi|pl|exe|jsp|asp|inc|phar)/i", "$0-x", $filename);
 
         shuffle($chars_array);
         $shuffle = implode('', $chars_array);

bbs/write_comment_update.php

@@ -324,9 +324,7 @@ else if ($w == 'cu') // 댓글 수정
     if (!$is_admin)
         $sql_ip = " , wr_ip = '{$_SERVER['REMOTE_ADDR']}' ";
 
-    $sql_secret = "";
-    if ($wr_secret)
-        $sql_secret = " , wr_option = '$wr_secret' ";
+    $sql_secret = " , wr_option = '$wr_secret' ";
 
     $sql = " update $write_table
                 set wr_subject = '$wr_subject',

bbs/write_update.php

@@ -561,7 +561,7 @@ if(isset($_FILES['bf_file']['name']) && is_array($_FILES['bf_file']['name'])) {
             $upload[$i]['filesize'] = $filesize;
 
             // 아래의 문자열이 들어간 파일은 -x 를 붙여서 웹경로를 알더라도 실행을 하지 못하도록 함
-            $filename = preg_replace("/\.(php|pht|phtm|htm|cgi|pl|exe|jsp|asp|inc)/i", "$0-x", $filename);
+            $filename = preg_replace("/\.(php|pht|phtm|htm|cgi|pl|exe|jsp|asp|inc|phar)/i", "$0-x", $filename);
 
             shuffle($chars_array);
             $shuffle = implode('', $chars_array);

config.php

@@ -161,7 +161,7 @@ define('G5_SPACE',          32); // 공백
 define('G5_SPECIAL',        64); // 특수문자
 
 // SEO TITLE 문단 길이
-define('G5_SEO_TITEL_WORD_CUT', 8);        // SEO TITLE 문단 길이
+define('G5_SEO_TITLE_WORD_CUT', 8);        // SEO TITLE 문단 길이
 
 // 퍼미션
 define('G5_DIR_PERMISSION',  0755); // 디렉토리 생성시 퍼미션

install/install_db.php

@@ -529,6 +529,13 @@ for ($i=0; $i<count($dir_arr); $i++) {
     @chmod($dir_arr[$i], G5_DIR_PERMISSION);
 }
 
+// 게시판 디렉토리 생성 (작은별님,211206)
+for ($i=0; $i<count($tmp_bo_table); $i++) {
+    $board_dir = $data_path.'/file/'.$tmp_bo_table[$i];
+    @mkdir($board_dir, G5_DIR_PERMISSION);
+    @chmod($board_dir, G5_DIR_PERMISSION);
+}
+
 if($g5_shop_install) {
     $dir_arr = array (
         $data_path.'/banner',
@@ -633,10 +640,10 @@ fclose($f);
         <li>DB설정 파일 생성 완료 (<?php echo $file ?>)</li>
 
 <?php
-// data 디렉토리 및 하위 디렉토리에서는 .htaccess .htpasswd .php .phtml .html .htm .inc .cgi .pl 파일을 실행할수 없게함.
+// data 디렉토리 및 하위 디렉토리에서는 .htaccess .htpasswd .php .phtml .html .htm .inc .cgi .pl .phar 파일을 실행할수 없게함.
 $f = fopen($data_path.'/.htaccess', 'w');
 $str = <<<EOD
-<FilesMatch "\.(htaccess|htpasswd|[Pp][Hh][Pp]|[Pp][Hh][Tt]|[Pp]?[Hh][Tt][Mm][Ll]?|[Ii][Nn][Cc]|[Cc][Gg][Ii]|[Pp][Ll])">
+<FilesMatch "\.(htaccess|htpasswd|[Pp][Hh][Pp]|[Pp][Hh][Tt]|[Pp]?[Hh][Tt][Mm][Ll]?|[Ii][Nn][Cc]|[Cc][Gg][Ii]|[Pp][Ll]|[Pp][Hh][Aa][Rr])">
 Order allow,deny
 Deny from all
 </FilesMatch>

lib/common.lib.php

@@ -3337,7 +3337,8 @@ function check_url_host($url, $msg='', $return_url=G5_URL, $is_redirect=false)
     if(!$msg)
         $msg = 'url에 타 도메인을 지정할 수 없습니다.';
 
-    $p = @parse_url($url);
+    $url = urldecode($url);
+    $p = @parse_url(trim($url));
     $host = preg_replace('/:[0-9]+$/', '', $_SERVER['HTTP_HOST']);
     $is_host_check = false;
     

lib/shop.lib.php

@@ -2464,9 +2464,9 @@ function shop_is_taxsave($od, $is_view_receipt=false){
 	if( $od['od_settle_case'] == '무통장' ){
 		$od_pay_type = 'account';
 	} else if ( $od['od_settle_case'] == '계좌이체' ) {
-		$od_pay_type = 'vbank';
-	} else if ( $od['od_settle_case'] == '가상계좌' ) {
 		$od_pay_type = 'transfer';
+	} else if ( $od['od_settle_case'] == '가상계좌' ) {
+		$od_pay_type = 'vbank';
 	}
 	
 	if( $od_pay_type ) {

lib/uri.lib.php

@@ -193,7 +193,7 @@ function correct_goto_url($url){
 	return $url;
 }
 
-function generate_seo_title($string, $wordLimit=G5_SEO_TITEL_WORD_CUT){
+function generate_seo_title($string, $wordLimit=G5_SEO_TITLE_WORD_CUT){
     $separator = '-';
     
     if($wordLimit != 0){

mobile/shop/settle_inicis.inc.php

@@ -54,6 +54,7 @@ $BANK_CODE = array(
     '88' => '신한은행',
     '89' => '케이뱅크',
     '90' => '카카오뱅크',
+    '92' => '토스뱅크',
     'D1' => '동양종합금융증권',
     'D2' => '현대증권',
     'D3' => '미래에셋증권',

shop.config.php

@@ -94,6 +94,10 @@ if(isset($_SERVER['HTTPS']) && $_SERVER['HTTPS']=='on') {
     define('SHOP_TOSSPAYMENTS_CASHRECEIPT_TEST_JS', 'http://pgweb.tosspayments.com:7085/WEB_SERVER/js/receipt_link.js');
 }
 
+// 네이버페이를 신용카드 결제창에서 지원하고 있으므로 네이버에 직접신청하는 결제 기능을 미사용(false:기본설정) 합니다. (kagla,211019)
+// 네이버에서 직접신청 결제를 사용(true)하시는 경우 모든 문제를 직접 해결해 주셔야 합니다.
+define('G5_SHOP_DIRECT_NAVERPAY', false); // false 미사용(기본설정), true 사용
+
 /*
 // 주문상태 상수
 define('G5_OD_STATUS_ORDER'     , '입금확인중');

shop/inicis/libs/sha256.inc.php

@@ -73,7 +73,9 @@ if (!class_exists('nanoSha2'))
         var     $platform;
 
         // Php 4 - 6 compatable constructor
-        function nanoSha2($toUpper = false) {
+        // PHP Deprecated:  Methods with the same name as their class will not be constructors in a future version of PHP
+        // function nanoSha2($toUpper = false) {
+        function __construct($toUpper = false) {
             // Determine if the caller wants upper case or not.
             $this->toUpper = is_bool($toUpper)
                            ? $toUpper

shop/settle_inicis.inc.php

@@ -102,6 +102,7 @@ $BANK_CODE = array(
     '88' => '신한은행',
     '89' => '케이뱅크',
     '90' => '카카오뱅크',
+    '92' => '토스뱅크',
     'D1' => '동양종합금융증권',
     'D2' => '현대증권',
     'D3' => '미래에셋증권',

shop/settle_naverpay.inc.php

@@ -1,5 +1,6 @@
 <?php
 if (!defined('_GNUBOARD_')) exit; // 개별 페이지 접근 불가
+if (!defined('G5_SHOP_DIRECT_NAVERPAY') || !G5_SHOP_DIRECT_NAVERPAY) return;
 
 if(!$is_admin && !$default['de_card_test'] && $default['de_naverpay_test']) {
     if($default['de_naverpay_mb_id'] && ($is_guest || $member['mb_id'] != $default['de_naverpay_mb_id']))

version.php

@@ -2,7 +2,7 @@
 if (!defined('_GNUBOARD_')) exit; // 개별 페이지 접근 불가
 
 define('G5_VERSION', '그누보드5');
-define('G5_GNUBOARD_VER', '5.5.0.2-beta');
+define('G5_GNUBOARD_VER', '5.5.0.3-beta');
 // 그누보드5.4.5.5 버전과 영카트5.4.5.5.1 버전을 합쳐서 그누보드5.4.6 버전에서 시작함 (kagla-210617)
 // G5_YOUNGCART_VER 이 상수를 사용하는 곳이 있으므로 주석 처리 해제함
 // 그누보드5.4.6 이상 버전 부터는 영카트를 그누보드에 포함하여 배포하므로 영카트5의 버전은 의미가 없습니다.