eviter hack XSS sur #RECHERCHE

cb3b3673 · Fil · 9516415d · cb3b3673 · cb3b3673
--- a/ecrire/inc_presentation.php3
+++ b/ecrire/inc_presentation.php3
@@ -1358,7 +1358,7 @@ function debut_page($titre = "", $rubrique = "asuivre", $sous_rubrique = "asuivr

 	debut_html($titre);

-	$ctitre = addslashes(_T('titre_changer_couleur_interface'));
+	$ctitre = entites_html(_T('titre_changer_couleur_interface'));
 	echo "\n<map name='map_couleur'>";
 	echo lien_change_var ($clean_link, 'set_couleur', 6, '0,0,10,10', $ctitre);
 	echo lien_change_var ($clean_link, 'set_couleur', 1, '12,0,22,10', $ctitre);
@@ -1601,7 +1601,7 @@ function debut_page($titre = "", $rubrique = "asuivre", $sous_rubrique = "asuivr

 	// choix de la couleur
 	echo "<td align='right'>";
-	echo "<img src='img_pack/barre-couleurs.gif' alt='".addslashes(_T('titre_changer_couleur_interface'))."' width='70' height='21' border='0' usemap='#map_couleur'>";
+	echo "<img src='img_pack/barre-couleurs.gif' alt=\"".entites_html(_T('titre_changer_couleur_interface'))."\" width='70' height='21' border='0' usemap='#map_couleur'>";
 	echo "</td>";
 	echo "</tr></table>";
 	echo "</td></tr></table>";

--- a/inc-calcul-squel.php3
+++ b/inc-calcul-squel.php3
@@ -1408,7 +1408,7 @@ function calculer_champ($id_champ, $id_boucle, $nom_var)
 		break;

 	case 'RECHERCHE':
-		$code = '$GLOBALS["recherche"]';
+		$code = 'htmlspecialchars($GLOBALS["recherche"])';
 		break;

 	case 'COMPTEUR_BOUCLE':