MERGE: リビジョン1849。startUpError()に渡す引数内でXHTMLタグを使用可能に

startUpError()は引数に対してEntity::hsc()を実行してXMLエンティティを変換していた。これは複数のエラーメッセージを出力するのに都合が悪い。エラーメッセージはユーザーからの入力に応じて動的に生成されるため脆弱性の問題が発生するが、コア側でコントロール可能なため、エンティティ変換を削除する。

CHANGE: remove Entity::hsc() from startUpError()
if $title and $msg include some XHTML tags, they are escaped by
Entity::hsc(). This is a bit inconvinient.
http://nucleuscms.svn.sourceforge.net/viewvc/nucleuscms?view=revision&revision=1849

diff --git a/nucleus/libs/globalfunctions.php b/nucleus/libs/globalfunctions.php
index 0d54316..852a508 100644 (file)
--- a/nucleus/libs/globalfunctions.php
+++ b/nucleus/libs/globalfunctions.php
@@ -1432,10 +1432,10 @@ function startUpError($msg, $title)
        header('Content-Type: text/xml; charset=' . i18n::get_current_charset());\r
        echo "<html xmlns=\"http://www.w3.org/1999/xhtml\">\n";\r
        echo "<head>\n";\r
-       echo '<title>'. Entity::hsc($title) . "</title></head>\n";\r
+       echo "<title>{$title}</title></head>\n";\r
        echo "<body>\n";\r
-       echo '<h1>' . Entity::hsc($title) . "</h1>\n";\r
-       echo Entity::hsc($msg);\r
+       echo "<h1>{$title}</h1>\n";\r
+       echo $msg;\r
        echo "</body>\n";\r
        echo "</html>\n";\r
        exit;\r