Make WordPress Core

Changeset 55331


Ignore:
Timestamp:
02/14/2023 11:32:59 AM (21 months ago)
Author:
audrasjb
Message:

Permalinks: Properly escape strings in Permalinks Settings screen.

Props jaedm97, audrasjb, robinwpdeveloper, shraboni.
Fixes #57143.

File:
1 edited

Legend:

Unmodified
Added
Removed
  • trunk/src/wp-admin/options-permalink.php

    r55276 r55331  
    339339            <?php foreach ( $default_structures as $input ) : ?>
    340340            <div class="row">
    341                 <input id="permalink-input-<?php echo $input['id']; ?>"
    342                     name="selection" aria-describedby="permalink-<?php echo $input['id']; ?>"
     341                <input id="permalink-input-<?php echo esc_attr( $input['id'] ); ?>"
     342                    name="selection" aria-describedby="permalink-<?php echo esc_attr( $input['id'] ); ?>"
    343343                    type="radio" value="<?php echo esc_attr( $input['value'] ); ?>"
    344344                    <?php checked( $input['value'], $permalink_structure ); ?>
    345345                />
    346346                <div>
    347                     <label for="permalink-input-<?php echo $input['id']; ?>"><?php echo $input['label']; ?></label>
     347                    <label for="permalink-input-<?php echo esc_attr( $input['id'] ); ?>">
     348                        <?php echo esc_html( $input['label'] ); ?>
     349                    </label>
    348350                    <p>
    349                         <code id="permalink-<?php echo $input['id']; ?>"><?php echo $input['example']; ?></code>
     351                        <code id="permalink-<?php echo esc_attr( $input['id'] ); ?>">
     352                            <?php echo esc_html( $input['example'] ); ?>
     353                        </code>
    350354                    </p>
    351355                </div>
     
    368372                        </label>
    369373                        <span class="code">
    370                             <code id="permalink-custom"><?php echo $url_base; ?></code>
     374                            <code id="permalink-custom"><?php echo esc_url( $url_base ); ?></code>
    371375                            <input name="permalink_structure" id="permalink_structure"
    372376                                type="text" value="<?php echo esc_attr( $permalink_structure ); ?>"
     
    390394                                        data-removed="<?php echo esc_attr( sprintf( $tag_removed, $tag ) ); ?>"
    391395                                        data-used="<?php echo esc_attr( sprintf( $tag_already_used, $tag ) ); ?>">
    392                                         <?php echo '%' . $tag . '%'; ?>
     396                                        <?php echo '%' . esc_html( $tag ) . '%'; ?>
    393397                                    </button>
    394398                                </li>
Note: See TracChangeset for help on using the changeset viewer.