Security fix - html escape sql error messages
authorbradymiller <bradymiller@users.sourceforge.net>
Thu, 28 Feb 2013 00:33:07 +0000 (27 16:33 -0800)
committerbradymiller <bradymiller@users.sourceforge.net>
Thu, 28 Feb 2013 00:33:07 +0000 (27 16:33 -0800)
library/sql.inc

index 0502333..c7653a2 100644 (file)
@@ -161,7 +161,7 @@ if (!$GLOBALS['dbh']) {
   if ($host == "localhost") {
     echo "Check that mysqld is running.<p>";
   } else {
-    echo "Check that you can ping the server '$host'.<p>";
+    echo "Check that you can ping the server '".text($host)."'.<p>";
   }//if local
   HelpfulDie("Could not connect to server!", getSqlLastError("native_mysql"));
   exit;
@@ -546,9 +546,9 @@ function sqlNumRows($r)
 */
 function HelpfulDie ($statement, $sqlerr='')
 {
-  echo "<p><p><font color='red'>ERROR:</font> $statement<p>";
+  echo "<p><p><font color='red'>ERROR:</font> ".text($statement)."<p>";
   if ($sqlerr) {
-    echo "Error: <font color='red'>$sqlerr</font><p>";
+    echo "Error: <font color='red'>".text($sqlerr)."</font><p>";
   }//if error
   exit;
 }