WordPress.org
Get WordPress

Make WordPress Core


Ignore:
Timestamp:
05/07/2007 03:56:53 PM (19 years ago)
Author:
ryan
Message:

Add nonces to importers

File:
1 edited

Legend:

Unmodified
Added
Removed

  • trunk/wp-admin/import/dotclear.php

    r5087 r5404  
    148148        echo '<p>'.__('Your DotClear Configuration settings are as follows:').'</p>';
    149149        echo '<form action="admin.php?import=dotclear&amp;step=1" method="post">';
     150        wp_nonce_field('import-dotclear');
    150151        $this->db_form();
    151         echo '<p class="submit"><input type="submit" name="submit" value="'.__('Import Categories').' &raquo;" /></p>';
     152        echo '<p class="submit"><input type="submit" name="submit" value="'.attribute_escape(__('Import Categories &raquo;')).'" /></p>';
    152153        echo '</form></div>';
    153154    }
     
    559560
    560561        echo '<form action="admin.php?import=dotclear&amp;step=2" method="post">';
    561         printf('<input type="submit" name="submit" value="%s" />', __('Import Users'));
     562        wp_nonce_field('import-dotclear');
     563        printf('<input type="submit" name="submit" value="%s" />', attribute_escape(__('Import Users')));
    562564        echo '</form>';
    563565
     
    571573
    572574        echo '<form action="admin.php?import=dotclear&amp;step=3" method="post">';
    573         printf('<input type="submit" name="submit" value="%s" />', __('Import Posts'));
     575        wp_nonce_field('import-dotclear');
     576        printf('<input type="submit" name="submit" value="%s" />', attribute_escape(__('Import Posts')));
    574577        echo '</form>';
    575578    }
     
    582585
    583586        echo '<form action="admin.php?import=dotclear&amp;step=4" method="post">';
    584         printf('<input type="submit" name="submit" value="%s" />', __('Import Comments'));
     587        wp_nonce_field('import-dotclear');
     588        printf('<input type="submit" name="submit" value="%s" />', attribute_escape(__('Import Comments')));
    585589        echo '</form>';
    586590    }
     
    593597
    594598        echo '<form action="admin.php?import=dotclear&amp;step=5" method="post">';
    595         printf('<input type="submit" name="submit" value="%s" />', __('Import Links'));
     599        wp_nonce_field('import-dotclear');
     600        printf('<input type="submit" name="submit" value="%s" />', attribute_escape(__('Import Links')));
    596601        echo '</form>';
    597602    }
     
    605610
    606611        echo '<form action="admin.php?import=dotclear&amp;step=6" method="post">';
    607         printf('<input type="submit" name="submit" value="%s" />', __('Finish'));
     612        wp_nonce_field('import-dotclear');
     613        printf('<input type="submit" name="submit" value="%s" />', attribute_escape(__('Finish')));
    608614        echo '</form>';
    609615    }
     
    668674        if ( $step > 0 )
    669675        {
     676            check_admin_referer('import-dotclear');
     677
    670678            if($_POST['dbuser'])
    671679            {
    672680                if(get_option('dcuser'))
    673681                    delete_option('dcuser');
    674                 add_option('dcuser',$_POST['dbuser']);
     682                add_option('dcuser', sanitize_user($_POST['dbuser'], true));
    675683            }
    676684            if($_POST['dbpass'])
     
    678686                if(get_option('dcpass'))
    679687                    delete_option('dcpass');
    680                 add_option('dcpass',$_POST['dbpass']);
     688                add_option('dcpass', sanitize_user($_POST['dbpass'], true));
    681689            }
    682690
     
    685693                if(get_option('dcname'))
    686694                    delete_option('dcname');
    687                 add_option('dcname',$_POST['dbname']);
     695                add_option('dcname', sanitize_user($_POST['dbname'], true));
    688696            }
    689697            if($_POST['dbhost'])
     
    691699                if(get_option('dchost'))
    692700                    delete_option('dchost');
    693                 add_option('dchost',$_POST['dbhost']);
     701                add_option('dchost', sanitize_user($_POST['dbhost'], true));
    694702            }
    695703            if($_POST['dccharset'])
     
    697705                if(get_option('dccharset'))
    698706                    delete_option('dccharset');
    699                 add_option('dccharset',$_POST['dccharset']);
     707                add_option('dccharset', sanitize_user($_POST['dccharset'], true));
    700708            }
    701709            if($_POST['dbprefix'])
     
    703711                if(get_option('dcdbprefix'))
    704712                    delete_option('dcdbprefix');
    705                 add_option('dcdbprefix',$_POST['dbprefix']);
     713                add_option('dcdbprefix', sanitize_user($_POST['dbprefix'], true));
    706714            }
    707715
Note: See TracChangeset for help on using the changeset viewer.