[CLEANUP] Add htmlspecialchars in some form elements 29/35429/4
authorFrank Nägler <typo3@naegler.net>
Sun, 14 Dec 2014 16:55:30 +0000 (17:55 +0100)
committerMarkus Klein <markus.klein@typo3.org>
Fri, 1 May 2015 15:52:12 +0000 (17:52 +0200)
Resolves: #63843
Releases: master
Change-Id: I4b736b76d4a8e92f54d0ec3961f93030737ffe39
Reviewed-on: http://review.typo3.org/35429
Reviewed-by: Christian Kuhn <lolli@schwarzbu.ch>
Reviewed-by: Jan Helke <typo3@helke.de>
Tested-by: Jan Helke <typo3@helke.de>
Reviewed-by: Markus Klein <markus.klein@typo3.org>
Tested-by: Markus Klein <markus.klein@typo3.org>
typo3/sysext/backend/Classes/Form/Element/CheckboxElement.php
typo3/sysext/backend/Classes/Form/Element/InputElement.php
typo3/sysext/backend/Classes/Form/Element/SelectElement.php
typo3/sysext/backend/Classes/Form/Element/TextElement.php
typo3/sysext/backend/Classes/Form/Wizard/SuggestWizard.php

index b0468a0..a5b0961 100644 (file)
@@ -162,7 +162,7 @@ class CheckboxElement extends AbstractFormElement {
                                <label>
                                        <input type="checkbox"
                                                value="1"
-                                               name="' . $checkboxName . '"
+                                               name="' . htmlspecialchars($checkboxName) . '"
                                                ' . $checkboxParameters . '
                                                ' . $additionalInformation['onFocus'] . '
                                                ' . (!$disabled ?: ' disabled="disabled"') . '
index c298a6e..4b5af9b 100644 (file)
@@ -229,8 +229,8 @@ class InputElement extends AbstractFormElement {
 
                // Creating an alternative item without the JavaScript handlers.
                $altItem = '
-                       <input type="hidden" name="' . $parameterArray['itemFormElName'] . '_hr" value="" />
-                       <input type="hidden" name="' . $parameterArray['itemFormElName'] . '" value="' . htmlspecialchars($parameterArray['itemFormElValue']) . '" />';
+                       <input type="hidden" name="' . htmlspecialchars($parameterArray['itemFormElName']) . '_hr" value="" />
+                       <input type="hidden" name="' . htmlspecialchars($parameterArray['itemFormElName']) . '" value="' . htmlspecialchars($parameterArray['itemFormElValue']) . '" />';
 
                // Wrap a wizard around the item?
                $html = $this->renderWizards(
index d1bedbf..a7668a7 100644 (file)
@@ -252,7 +252,7 @@ class SelectElement extends AbstractFormElement {
                        $multiSelectId = str_replace('.', '', uniqid('tceforms-multiselect-', TRUE));
                        $itemsToSelect = '
                                <select data-relatedfieldname="' . htmlspecialchars($PA['itemFormElName']) . '" data-exclusivevalues="'
-                               . htmlspecialchars($config['exclusiveKeys']) . '" id="' . $multiSelectId . '" name="' . $PA['itemFormElName'] . '_sel" '
+                               . htmlspecialchars($config['exclusiveKeys']) . '" id="' . $multiSelectId . '" name="' . htmlspecialchars($PA['itemFormElName']) . '_sel" '
                                . ' class="form-control t3js-formengine-select-itemstoselect" '
                                . ($size ? ' size="' . $size . '"' : '') . ' onchange="' . htmlspecialchars($sOnChange) . '"'
                                . $PA['onFocus'] . $selector_itemListStyle . '>
@@ -580,7 +580,7 @@ class SelectElement extends AbstractFormElement {
                                ' . $prepend . '
                                <select'
                                        . ' id="' . $selectId . '"'
-                                       . ' name="' . $PA['itemFormElName'] . '"'
+                                       . ' name="' . htmlspecialchars($PA['itemFormElName']) . '"'
                                        . ' class="form-control form-control-adapt"'
                                        . ($size ? ' size="' . $size . '"' : '')
                                        . ' onchange="' . htmlspecialchars($sOnChange) . '"'
@@ -897,7 +897,7 @@ class SelectElement extends AbstractFormElement {
                $size = $config['autoSizeMax']
                        ? MathUtility::forceIntegerInRange(count($selItems) + 1, MathUtility::forceIntegerInRange($size, 1), $config['autoSizeMax'])
                        : $size;
-               $selectBox = '<select id="' . str_replace('.', '', uniqid($cssPrefix, TRUE)) . '" name="' . $PA['itemFormElName'] . '[]" '
+               $selectBox = '<select id="' . str_replace('.', '', uniqid($cssPrefix, TRUE)) . '" name="' . htmlspecialchars($PA['itemFormElName']) . '[]" '
                        . 'class="form-control ' . $cssPrefix . '"' . ($size ? ' size="' . $size . '" ' : '')
                        . ' multiple="multiple" onchange="' . htmlspecialchars($sOnChange) . '"' . $PA['onFocus']
                        . ' ' . $selector_itemListStyle . $disabled . '>
index e11193f..39ff408 100644 (file)
@@ -225,13 +225,13 @@ class TextElement extends AbstractFormElement {
                                }
                                $attributes['rows'] = $rows;
                                $attributes['wrap'] = $specialConfiguration['nowrap'] ? 'off' : ($config['wrap'] ?: 'virtual');
-                               $attributes['onChange'] = htmlspecialchars(implode('', $parameterArray['fieldChangeFunc']));
+                               $attributes['onChange'] = implode('', $parameterArray['fieldChangeFunc']);
                                if (isset($config['max']) && (int)$config['max'] > 0) {
                                        $attributes['maxlength'] = (int)$config['max'];
                                }
                                $attributeString = '';
                                foreach ($attributes as $attributeName => $attributeValue) {
-                                       $attributeString .= ' '. $attributeName . '="' . $attributeValue . '"';
+                                       $attributeString .= ' '. $attributeName . '="' . htmlspecialchars($attributeValue) . '"';
                                }
 
                                // Build the textarea
index 9ea5e0f..dbe32ab 100644 (file)
@@ -58,13 +58,12 @@ class SuggestWizard {
                <div class="' . $containerCssClass . '" id="' . $suggestId . '">
                        <div class="input-group">
                                <span class="input-group-addon"><i class="fa fa-search"></i></span>
-                               <input type="search" id="' . $fieldname . 'Suggest" value="' . $languageService->sL('LLL:EXT:lang/locallang_core.xlf:labels.findRecord') . '" class="form-control ' . $this->cssClass . '-search" />
-                               <div class="' . $this->cssClass . '-indicator" style="display: none;" id="' . $fieldname . 'SuggestIndicator">
+                               <input type="search" id="' . htmlspecialchars($fieldname) . 'Suggest" value="' . $languageService->sL('LLL:EXT:lang/locallang_core.xlf:labels.findRecord') . '" class="form-control ' . $this->cssClass . '-search" />
+                               <div class="' . $this->cssClass . '-indicator" style="display: none;" id="' . htmlspecialchars($fieldname) . 'SuggestIndicator">
                                        <img src="' . $GLOBALS['BACK_PATH'] . 'gfx/spinner.gif" alt="' . $languageService->sL('LLL:EXT:lang/locallang_core.xlf:alttext.suggestSearching') . '" />
                                </div>
-                               <div class="' . $this->cssClass . '-choices" style="display: none;" id="' . $fieldname . 'SuggestChoices"></div>
+                               <div class="' . $this->cssClass . '-choices" style="display: none;" id="' . htmlspecialchars($fieldname) . 'SuggestChoices"></div>
                        </div>
-
                </div>';
                // Get minimumCharacters from TCA
                $minChars = 0;