XSS for chart_location_activity
authorKevin Yeh <kevinyeh@alum.mit.edu>
Sat, 1 Dec 2012 19:25:12 +0000 (1 14:25 -0500)
committerKevin Yeh <kevinyeh@alum.mit.edu>
Mon, 3 Dec 2012 17:29:15 +0000 (3 12:29 -0500)
interface/reports/chart_location_activity.php

index b78c8d8..1d5d2d3 100644 (file)
@@ -20,7 +20,7 @@ $form_patient_id = trim($_POST['form_patient_id']);
 <html>
 <head>
 <?php html_header_show(); ?>
-<title><?php xl('Chart Location Activity','e'); ?></title>
+<title><?php echo xlt('Chart Location Activity'); ?></title>
 
 <link rel='stylesheet' href='<?php echo $css_header ?>' type='text/css'>
 <style type="text/css">
@@ -56,7 +56,7 @@ $form_patient_id = trim($_POST['form_patient_id']);
 
 <body class="body_top">
 
-<span class='title'><?php xl('Report','e'); ?> - <?php xl('Chart Location Activity','e'); ?></span>
+<span class='title'><?php echo xlt('Report'); ?> - <?php echo xlt('Chart Location Activity'); ?></span>
 
 <?php
 $curr_pid = $pid;
@@ -67,7 +67,7 @@ if (!empty($form_patient_id)) {
   $ptrow = sqlQuery($query,array($form_patient_id));
   if (empty($ptrow)) {
     $curr_pid = 0;
-    echo "<font color='red'>" . xl('Chart ID') . " '" . $form_patient_id . "' " . xl('not found!') . "</font><br />&nbsp;<br />";
+    echo "<font color='red'>" . xlt('Chart ID') . " '" . text($form_patient_id) . "' " . xlt('not found!') . "</font><br />&nbsp;<br />";
   }
   else {
     $curr_pid = $ptrow['pid'];
@@ -80,9 +80,9 @@ else if (!empty($curr_pid)) {
   $form_patient_id = $ptrow['pubpid'];
 }
 if (!empty($ptrow)) {
-  echo '<span class="title">' . xl('for','','',' ');
-  echo $ptrow['lname'] . ', ' . $ptrow['fname'] . ' ' . $ptrow['mname'] . ' ';
-  echo "(" . $ptrow['pubpid'] . ")";
+  echo '<span class="title">' . text(xl('for','','',' '));
+  echo text($ptrow['lname']) . ', ' . text($ptrow['fname']) . ' ' . text($ptrow['mname']) . ' ';
+  echo "(" . text($ptrow['pubpid']) . ")";
   echo "</span>\n";
 }
 ?>
@@ -103,11 +103,11 @@ if (!empty($ptrow)) {
        <table class='text'>
                <tr>
                        <td class='label'>
-                          <?php xl('Patient ID','e'); ?>:
+                          <?php echo xlt('Patient ID'); ?>:
                        </td>
                        <td>
-                          <input type='text' name='form_patient_id' size='10' maxlength='31' value='<?php echo $form_patient_id ?>'
-                               title='<?php xl('Patient ID','e'); ?>' />
+                          <input type='text' name='form_patient_id' size='10' maxlength='31' value='<?php echo attr($form_patient_id) ?>'
+                               title='<?php echo xla('Patient ID'); ?>' />
                        </td>
                </tr>
        </table>
@@ -122,14 +122,14 @@ if (!empty($ptrow)) {
                                <div style='margin-left:15px'>
                                        <a href='#' class='css_button' onclick='$("#form_refresh").attr("value","true"); $("#theform").submit();'>
                                        <span>
-                                               <?php xl('Submit','e'); ?>
+                                               <?php echo xlt('Submit'); ?>
                                        </span>
                                        </a>
 
                                        <?php if ($_POST['form_refresh'] || !empty($ptrow) ) { ?>
                                        <a href='#' class='css_button' onclick='window.print()'>
                                                <span>
-                                                       <?php xl('Print','e'); ?>
+                                                       <?php echo xlt('Print'); ?>
                                                </span>
                                        </a>
                                        <?php } ?>
@@ -149,8 +149,8 @@ if (!empty($ptrow)) {
 <div id="report_results">
 <table>
  <thead>
-  <th> <?php xl('Time','e'); ?> </th>
-  <th> <?php xl('Destination','e'); ?> </th>
+  <th> <?php echo xlt('Time'); ?> </th>
+  <th> <?php echo xlt('Destination'); ?> </th>
  </thead>
  <tbody>
 <?php
@@ -160,15 +160,15 @@ if (!empty($ptrow)) {
     "u.username, u.fname, u.mname, u.lname " .
     "FROM chart_tracker AS ct " .
     "LEFT OUTER JOIN users AS u ON u.id = ct.ct_userid " .
-    "WHERE ct.ct_pid = '$curr_pid' " .
+    "WHERE ct.ct_pid = ? " .
     "ORDER BY ct.ct_when DESC";
-  $res = sqlStatement($query);
+  $res = sqlStatement($query,array($curr_pid));
 
   while ($row = sqlFetchArray($res)) {
 ?>
  <tr>
   <td>
-   <?php echo oeFormatShortDate(substr($row['ct_when'], 0, 10)) . substr($row['ct_when'], 10); ?>
+   <?php echo text(oeFormatShortDate(substr($row['ct_when'], 0, 10))) . text(substr($row['ct_when'], 10)); ?>
   </td>
   <td>
 <?php
@@ -176,7 +176,7 @@ if (!empty($ptrow)) {
       echo generate_display_field(array('data_type'=>'1','list_id'=>'chartloc'),$row['ct_location']);
     }
     else if (!empty($row['ct_userid'])) {
-      echo $row['lname'] . ', ' . $row['fname'] . ' ' . $row['mname'];
+      echo text($row['lname']) . ', ' . text($row['fname']) . ' ' . text($row['mname']);
     }
 ?>
   </td>
@@ -190,7 +190,7 @@ if (!empty($ptrow)) {
 </div> <!-- end of results -->
 <?php } else { ?>
 <div class='text'>
-       <?php echo xl('Please input search criteria above, and click Submit to view results.', 'e' ); ?>
+       <?php echo xlt('Please input search criteria above, and click Submit to view results.'); ?>
 </div>
 <?php } ?>