<%text%>に定数を展開するBaseActions::parse_text()だが、定数に対してEntity::hsc()を適用しているため、定数内のXHTMLタグがエスケープされていた。これはメッセージを作成する際にやや都合が悪い。翻訳メッセージは動的に生成されるものではないため脆弱性につながる可能性は低いことから、これを削除する。
Revision 1848:
CHANGE: unuse Entity::hsc() in BaseActions::parse_text()
if translation file includes some XHTML tags, they are escaped by
Entity::hsc(). This is a bit inconvinient.
http://nucleuscms.svn.sourceforge.net/viewvc/nucleuscms?view=revision&revision=1848
{
if ( !defined($constant) )
{
- echo Entity::hsc($constant);
+ echo $constant;
}
else
{
- echo Entity::hsc(constant($constant));
+ echo constant($constant);
}
return;
}