Security Fix (xss)
authorbradymiller <bradymiller@users.sourceforge.net>
Thu, 14 Feb 2013 22:24:15 +0000 (14 14:24 -0800)
committerbradymiller <bradymiller@users.sourceforge.net>
Thu, 14 Feb 2013 22:24:15 +0000 (14 14:24 -0800)
interface/globals.php

index 12a0ff7..b1f07e3 100644 (file)
@@ -103,7 +103,7 @@ if (empty($_SESSION['site_id']) || !empty($_GET['site'])) {
     if (!is_dir($GLOBALS['OE_SITES_BASE'] . "/$tmp")) $tmp = "default";
   }
   if (empty($tmp) || preg_match('/[^A-Za-z0-9\\-.]/', $tmp))
-    die("Site ID '$tmp' contains invalid characters.");
+    die("Site ID '". htmlspecialchars($tmp,ENT_NOQUOTES) . "' contains invalid characters.");
   if (!isset($_SESSION['site_id']) || $_SESSION['site_id'] != $tmp) {
     $_SESSION['site_id'] = $tmp;
     //error_log("Session site ID has been set to '$tmp'"); // debugging