WordPress.org

Make WordPress Core


Ignore:
File:
1 edited

Legend:

Unmodified
Added
Removed
  • branches/2.2/wp-admin/import/textpattern.php

    r4608 r5405  
    5757        echo '<p>'.__('Your Textpattern Configuration settings are as follows:').'</p>';
    5858        echo '<form action="admin.php?import=textpattern&amp;step=1" method="post">';
     59        wp_nonce_field('import-textpattern');
    5960        $this->db_form();
    60         echo '<p class="submit"><input type="submit" name="submit" value="'.__('Import Categories').' &raquo;" /></p>';
     61        echo '<p class="submit"><input type="submit" name="submit" value="'.attribute_escape(__('Import Categories &raquo;')).'" /></p>';
    6162        echo '</form>';
    6263        echo '</div>';
     
    484485
    485486        echo '<form action="admin.php?import=textpattern&amp;step=2" method="post">';
    486         printf('<input type="submit" name="submit" value="%s" />', __('Import Users'));
     487        wp_nonce_field('import-textpattern');
     488        printf('<input type="submit" name="submit" value="%s" />', attribute_escape(__('Import Users')));
    487489        echo '</form>';
    488490
     
    496498
    497499        echo '<form action="admin.php?import=textpattern&amp;step=3" method="post">';
    498         printf('<input type="submit" name="submit" value="%s" />', __('Import Posts'));
     500        wp_nonce_field('import-textpattern');
     501        printf('<input type="submit" name="submit" value="%s" />', attribute_escape(__('Import Posts')));
    499502        echo '</form>';
    500503    }
     
    507510
    508511        echo '<form action="admin.php?import=textpattern&amp;step=4" method="post">';
    509         printf('<input type="submit" name="submit" value="%s" />', __('Import Comments'));
     512        wp_nonce_field('import-textpattern');
     513        printf('<input type="submit" name="submit" value="%s" />', attribute_escape(__('Import Comments')));
    510514        echo '</form>';
    511515    }
     
    518522
    519523        echo '<form action="admin.php?import=textpattern&amp;step=5" method="post">';
    520         printf('<input type="submit" name="submit" value="%s" />', __('Import Links'));
     524        wp_nonce_field('import-textpattern');
     525        printf('<input type="submit" name="submit" value="%s" />', attribute_escape(__('Import Links')));
    521526        echo '</form>';
    522527    }
     
    530535
    531536        echo '<form action="admin.php?import=textpattern&amp;step=6" method="post">';
    532         printf('<input type="submit" name="submit" value="%s" />', __('Finish'));
     537        wp_nonce_field('import-textpattern');
     538        printf('<input type="submit" name="submit" value="%s" />', attribute_escape(__('Finish')));
    533539        echo '</form>';
    534540    }
     
    591597        if ( $step > 0 )
    592598        {
     599            check_admin_referer('import-textpattern');
     600
    593601            if($_POST['dbuser'])
    594602            {
    595603                if(get_option('txpuser'))
    596604                    delete_option('txpuser');
    597                 add_option('txpuser',$_POST['dbuser']);
     605                add_option('txpuser', sanitize_user($_POST['dbuser'], true));
    598606            }
    599607            if($_POST['dbpass'])
     
    601609                if(get_option('txppass'))
    602610                    delete_option('txppass');
    603                 add_option('txppass',$_POST['dbpass']);
     611                add_option('txppass',  sanitize_user($_POST['dbpass'], true));
    604612            }
    605613
     
    608616                if(get_option('txpname'))
    609617                    delete_option('txpname');
    610                 add_option('txpname',$_POST['dbname']);
     618                add_option('txpname',  sanitize_user($_POST['dbname'], true));
    611619            }
    612620            if($_POST['dbhost'])
     
    614622                if(get_option('txphost'))
    615623                    delete_option('txphost');
    616                 add_option('txphost',$_POST['dbhost']);
     624                add_option('txphost',  sanitize_user($_POST['dbhost'], true));
    617625            }
    618626            if($_POST['dbprefix'])
     
    620628                if(get_option('tpre'))
    621629                    delete_option('tpre');
    622                 add_option('tpre',$_POST['dbprefix']);
     630                add_option('tpre',  sanitize_user($_POST['dbprefix']));
    623631            }
    624632
Note: See TracChangeset for help on using the changeset viewer.