Adminer 5.4.3
Vyšel Adminer 5.4.3. Opravuje několik nepříliš vážných bezpečnostních chyb:
- Pro obranu proti CSRF se nově používá hlavička Sec-Fetch-Site. Náhodně generovaný token neměl dostatečnou entropii. (GHSA-33j4-hc95-pggg)
- Ošetřuje se REQUEST_URI, které bylo možné zneužít pro nastavení parametrů cookies. (GHSA-c533-9qwm-8w5h)
- Validuje se název databázového serveru. V Oracle se pomocí toho dal vytvořit soubor. (GHSA-r4x9-5m63-3vxw)
- Validuje se verze databázového serveru. Pokud modifikovaný server vrátil neplatný řetězec s verzí, mohlo dojít k XSS. (GHSA-h6jr-7pr6-grgj)
- Pomocí SQL příkazu s 350 000 komentáři se dala v SQLite obejít obrana proti ATTACH. (GHSA-q4f2-39gr-45jh)
- V SQLite chyběla ochrana proti VACUUM INTO. (GHSA-gmx3-g29w-77wf)
- V SQLite se před smazáním databáze nekontrolovalo, jestli je název povolený. (GHSA-6pg3-chwq-wgqc)
- Místo
unserialize()se používájson_decode(). (bug #1289)
Ostatní změny jsou starší, ale dřív jsem je nevydal.
- Tabulky v přehledu lze třídit. (bug #1231)
- Inline editace pomocí Ctrl+klik je deaktivovaná, pokud uživatel nemá právo UPDATE.
- Ve výpisu tabulky se v bublině názvu sloupce zobrazuje typ, teď jsem přidal i informaci o NULL.
- V exportu se pamatují nevybrané položky. (regrese z 5.0.6)
- U cizího klíče se v případě chyby zobrazí nová hodnota.
- Adminer Editor: Sloupec typu
tinyint(1)se zobrazí jako checkbox. (bug #1246, regrese z 5.4.2) - Přibyl chorvatský překlad.
Další změny se týkají PostgreSQL:
- NULL se řadí na konec.
- Zobrazí se všechna SQL varování a pouze jednou.
- Typ
serialse exportuje jakoserial, nenextval(). - Opraven export
GENERATED AS IDENTITY. (bug #1260) - U
nextval()aREFERENCESse exportuje schéma. - Přidal jsem operátor ~*. (bug #1271)
Jakub Vrána, Adminer, 9.7.2026
Diskuse je zrušena z důvodu spamu.

