[BUGFIX] Fix breaking t3editor by using hsc() 82/19582/2
authorGeorg Ringer <georg.ringer@gmail.com>
Tue, 2 Apr 2013 06:08:41 +0000 (08:08 +0200)
committerChristian Kuhn <lolli@schwarzbu.ch>
Fri, 5 Apr 2013 14:46:18 +0000 (16:46 +0200)
t3editor misses a htmlspecialchars() when displaying content of
the CE "HTML".

Change-Id: I84b65cd42bee971adc6fb77149f6789e76fc6567
Fixes: #33651
Releases: 6.1,6.0,4.7,4.6,4.5
Reviewed-on: https://review.typo3.org/19582
Reviewed-by: Christian Kuhn
Tested-by: Christian Kuhn
typo3/sysext/t3editor/Classes/T3Editor.php

index 2ccd029..1e2768b 100644 (file)
@@ -342,7 +342,7 @@ class T3Editor implements \TYPO3\CMS\Core\SingletonInterface {
                        if (!empty($alt)) {
                                $alt = ' alt="' . $alt . '"';
                        }
-                       $code .= '<div>' . '<textarea id="t3editor_' . $this->editorCounter . '" ' . 'name="' . $name . '" ' . 'class="' . $class . '" ' . $additionalParams . ' ' . $alt . '>' . $content . '</textarea></div>';
+                       $code .= '<div>' . '<textarea id="t3editor_' . $this->editorCounter . '" ' . 'name="' . $name . '" ' . 'class="' . $class . '" ' . $additionalParams . ' ' . $alt . '>' . htmlspecialchars($content) . '</textarea></div>';
                        $checked = $GLOBALS['BE_USER']->uc['disableT3Editor'] ? 'checked="checked"' : '';
                        $code .= '<br /><br />' . '<input type="checkbox" ' . 'class="checkbox t3editor_disableEditor" ' . 'onclick="T3editor.toggleEditor(this);" ' . 'name="t3editor_disableEditor" ' . 'value="true" ' . 'id="t3editor_disableEditor_' . $this->editorCounter . '_checkbox" ' . $checked . ' />&nbsp;' . '<label for="t3editor_disableEditor_' . $this->editorCounter . '_checkbox">' . $GLOBALS['LANG']->getLL('deactivate') . '</label>' . '<br /><br />';
                        if (count($hiddenfields)) {