Jacinto: Fix bug xss
[project/managesite.git] / managesite.module
index ecea755..d0bce03 100644 (file)
@@ -826,7 +826,7 @@ function managesite_items_add_category(&$form_state, $num_panel) {
  */
 function managesite_items_add_category_submit($form, &$form_state) {
   $region = $form_state['values']['region'];
-  $title = $form_state['values']['title'];
+  $title = filter_xss($form_state['values']['title']);
 
   // FIXME
   $weight = 0;
@@ -1277,7 +1277,7 @@ function managesite_configure_category_form_submit($form, &$form_state) {
   foreach ($form_state['values'] as $index => $value) {
     if (eregi('^item_*', $index) ) {
       $mlid = drupal_substr($index, 5, drupal_strlen($index) - 5);
-      $title = $value;
+      $title = filter_xss($value);
       if (drupal_strlen($value) == 0) {
         $title = db_result(db_query('SELECT link_title FROM {menu_links} WHERE mlid = %d', $mlid));
       }
@@ -1286,7 +1286,7 @@ function managesite_configure_category_form_submit($form, &$form_state) {
   }
 
   if (drupal_strlen($form_state['values']['title']) != 0) {
-    db_query("UPDATE {managesite_categories} SET title = '%s' WHERE cid = %d",  $form_state['values']['title'], $cid);
+    db_query("UPDATE {managesite_categories} SET title = '%s' WHERE cid = %d",  filter_xss($form_state['values']['title']), $cid);
   }
   drupal_set_message(t('Category updated'));
 }