Vermeiden von XSS bei der Ausgabe von Texten in HTML-Fehlermeldungen. - openrat-cms - Unnamed repository; edit this file 'description' to name the repository.

commit 184d42668eaa2fc10ddca754d6e82cce3be6546d
parent eb799231a4bf3d1b64076bd378372c83509b2980
Author: dankert <devnull@localhost>
Date:   Thu, 20 May 2010 21:34:52 +0200

Vermeiden von XSS bei der Ausgabe von Texten in HTML-Fehlermeldungen.

Diffstat:
serviceClasses/Http.class.php  | 16 +++++++++-------

1 file changed, 9 insertions(+), 7 deletions(-)
diff --git a/serviceClasses/Http.class.php b/serviceClasses/Http.class.php
@@ -2,7 +2,7 @@
 
 /**
  * Kapselung einer HTTP-Anfrage.<br>
- * Unter Ber�cksichtigung von RFC 1945.<br>
+ * Unter Beruecksichtigung von RFC 1945.<br>
  *
  * @author Jan Dankert
  * @package openrat.services
@@ -95,7 +95,7 @@ class Http
 
 	/**
 	 * Erzeugt eine Zeichenkette mit allen Parametern.
-	 * @param withPraefixQuestionMark Praefix mit Fragezeichen (f�r GET-Anfragen)
+	 * @param withPraefixQuestionMark Praefix mit Fragezeichen (f�r GET-Anfragen)
 	 * @return String URL-Parameter
 	 */
 	function getParameterString( $withPraefixQuestionMark=false )
@@ -259,7 +259,7 @@ class Http
 						$this->body .= $line;
 					}
 				}
-				fclose($fp); // Verbindung brav schlie�en.
+				fclose($fp); // Verbindung brav schlie�en.
 
 
 				// RFC 1945 (Section 6.1.1) schreibt
@@ -283,7 +283,7 @@ class Http
 //					Html::debug($location,"NEUES REDIRECT AUF");
 					$this->setURL($location);
 //					Html::debug($this->url,"NEUE URL NACH REDIRECT");
-					continue; // N�chster Versuch mit umgeleiteter Adresse.
+					continue; // N�chster Versuch mit umgeleiteter Adresse.
 				}
 				// RFC 1945 (Section 6.1.1) schreibt
 				// "2xx: Success - The action was successfully received, understood, and accepted."
@@ -334,7 +334,7 @@ class Http
 		$http_languages = @$HTTP_SERVER_VARS['HTTP_ACCEPT_LANGUAGE'];
 		foreach( explode(',',$http_languages) as $l )
 		{
-			list($part) = explode(';',$l); // Priorit�ten ignorieren.
+			list($part) = explode(';',$l); // Priorit�ten ignorieren.
 			$languages[] = trim($part);
 
 			// Aus "de_DE" das "de" extrahieren.
@@ -370,8 +370,8 @@ class Http
 	/**
 	 * Server-Fehlermeldung anzeigen.<br>
 	 * 
-	 * Erzeugt einen "HTTP 501 Internal Server Error". Zu�tzlich
-	 * wird ein 'rollback' auf der Datenbank ausgef�hrt.
+	 * Erzeugt einen "HTTP 501 Internal Server Error". Zu�tzlich
+	 * wird ein 'rollback' auf der Datenbank ausgef�hrt.
 	 *
 	 * @param String $message Eigener Hinweistext
 	 */
@@ -439,6 +439,8 @@ class Http
 		else
 		{
 			header('Content-Type: text/html');
+			$message = htmlentities($message);
+			$reason  = htmlentities($reason );
 			$signature = OR_TITLE.' '.OR_VERSION.' '.getenv('SERVER_SOFTWARE');
 			echo <<<HTML
 <html>

	openrat-cms Unnamed repository; edit this file 'description' to name the repository.
	Log \| Files \| Refs