Dotclear


Ignore:
Timestamp:
11/21/13 11:02:04 (12 years ago)
Author:
franck <carnet.franck.paul@…>
Branch:
2.6
Message:

Escape label and description fields in simpleMenu, fixes #1878

File:
1 edited

Legend:

Unmodified
Added
Removed

  • plugins/simpleMenu/index.php

    r2455 r2576  
    497497          if (!$step) { 
    498498               $count++; 
    499                echo '<td class="handle minimal">'.form::field(array('order['.$i.']'),2,3,$count,'position','',false,'title="'.sprintf(__('position of %s'),__($m['label'])).'"'). 
     499               echo '<td class="handle minimal">'. 
     500                    form::field(array('order['.$i.']'),2,3,$count,'position','',false,'title="'.sprintf(__('position of %s'),html::escapeHTML(__($m['label']))).'"'). 
    500501                    form::hidden(array('dynorder[]','dynorder-'.$i),$i).'</td>'; 
    501502               echo '<td class="minimal">'.form::checkbox(array('items_selected[]','ims-'.$i),$i).'</td>'; 
    502                echo '<td class="nowrap" scope="row">'.form::field(array('items_label[]','iml-'.$i),'',255,__($m['label'])).'</td>'; 
    503                echo '<td class="nowrap">'.form::field(array('items_descr[]','imd-'.$i),'30',255,__($m['descr'])).'</td>'; 
    504                echo '<td class="nowrap">'.form::field(array('items_url[]','imu-'.$i),'30',255,$m['url']).'</td>'; 
     503               echo '<td class="nowrap" scope="row">'.form::field(array('items_label[]','iml-'.$i),'',255,html::escapeHTML(__($m['label']))).'</td>'; 
     504               echo '<td class="nowrap">'.form::field(array('items_descr[]','imd-'.$i),'30',255,html::escapeHTML(__($m['descr']))).'</td>'; 
     505               echo '<td class="nowrap">'.form::field(array('items_url[]','imu-'.$i),'30',255,html::escapeHTML($m['url'])).'</td>'; 
    505506          } else { 
    506                echo '<td class="nowrap" scope="row">'.__($m['label']).'</td>'; 
    507                echo '<td class="nowrap">'.__($m['descr']).'</td>'; 
    508                echo '<td class="nowrap">'.$m['url'].'</td>'; 
     507               echo '<td class="nowrap" scope="row">'.html::escapeHTML(__($m['label'])).'</td>'; 
     508               echo '<td class="nowrap">'.html::escapeHTML(__($m['descr'])).'</td>'; 
     509               echo '<td class="nowrap">'.html::escapeHTML($m['url']).'</td>'; 
    509510          } 
    510511          echo '</tr>'; 
Note: See TracChangeset for help on using the changeset viewer.

Sites map