WordPress.org

Plugin Directory

Changeset 1659952


Ignore:
Timestamp:
05/18/17 08:01:42 (4 months ago)
Author:
bastho
Message:

Fix XSS vuln

Location:
eelv-newsletter/trunk
Files:
2 edited

Legend:

Unmodified
Added
Removed
  • eelv-newsletter/trunk/lettreinfo.php

    r1659457 r1659952  
    12421242              } 
    12431243              if (isset($_POST['grp_nom'])) { 
    1244                   $grp_nom = stripslashes($_POST['grp_nom']); 
     1244                  $grp_nom = sanitize_text_field($_POST['grp_nom']); 
    12451245                  if (is_numeric($grp_id)) { 
    12461246                      $query = "UPDATE $this->newsletter_tb_name SET `nom`='" . str_replace("'", "''", $grp_nom) . "' WHERE `id`='$grp_id'"; 
     
    12561256              } 
    12571257              if (isset($_POST['con_nom']) && is_numeric($grp_id)) { 
    1258                   $con_nom = stripslashes($_POST['con_nom']); 
    1259                   $con_email = stripslashes($_POST['con_email']); 
     1258                  $con_nom = sanitize_text_field(stripslashes($_POST['con_nom'])); 
     1259                  $con_email = sanitize_email(stripslashes($_POST['con_email'])); 
    12601260                  $for2 = 'liste'; 
    12611261                  $for = 'liste'; 
     
    13191319                                } 
    13201320                                foreach ($datas as $data) { 
    1321                                     $email = $data[$schema['email']]; 
    1322                                     $name = empty($schema['name']) ? str_replace("'", "''", substr($email, 0, strpos($email, '@'))) : $data[$schema['name']]; 
     1321                                    $email = sanitize_email($data[$schema['email']]); 
     1322                                    $name = sanitize_text_field(empty($schema['name']) ? str_replace("'", "''", substr($email, 0, strpos($email, '@'))) : $data[$schema['name']]); 
    13231323                                    if (filter_var($email, FILTER_VALIDATE_EMAIL)) { 
    13241324                                        $query.=" 
     
    13531353                              <div id="titlediv"> 
    13541354                                <div id="titlewrap"> 
    1355                                   <input type="text" name="grp_nom" size="30" tabindex="1" value="<?php echo  $grp_nom; ?>" id="title" autocomplete="off"/> 
     1355                                  <input type="text" name="grp_nom" size="30" tabindex="1" value="<?php esc_attr_e($grp_nom); ?>" id="title" autocomplete="off"/> 
    13561356                                </div> 
    13571357                                <input type='submit' value='<?php _e('Save options', 'eelv-newsletter'); ?>' class="button-primary"/> 
     
    15291529                                            <p style="margin-left:30px;"> 
    15301530                                                <label><?php _e('Name', 'eelv-newsletter'); ?> 
    1531                                                     <input type="text" class="widefat" name="con_nom" size="30" value="<?php echo  $con_nom; ?>" id="con_nom" autocomplete="off" onfocus="import_type[0].checked=true"/> 
     1531                                                    <input type="text" class="widefat" name="con_nom" size="30" value="<?php esc_attr_e($con_nom); ?>" id="con_nom" autocomplete="off" onfocus="import_type[0].checked=true"/> 
    15321532                                                </label> 
    15331533                                                <label><?php _e('E-mail', 'eelv-newsletter'); ?> 
    1534                                                     <input type="email" class="widefat" name="con_email" size="30" value="<?php echo  $con_email; ?>" id="con_email" autocomplete="off" onfocus="import_type[0].checked=true"/> 
     1534                                                    <input type="email" class="widefat" name="con_email" size="30" value="<?php esc_attr_e($con_email); ?>" id="con_email" autocomplete="off" onfocus="import_type[0].checked=true"/> 
    15351535                                                </label> 
    15361536                                            </p> 
  • eelv-newsletter/trunk/readme.txt

    r1659949 r1659952  
    128128== Changelog == 
    129129 
     130= 4.6.1 = 
     131- Fix cross-site scripting (XSS) vuln 
     132 
    130133= 4.6 = 
    131134Release date: 2017-05 
Note: See TracChangeset for help on using the changeset viewer.