<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1//EN"
"http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head><meta http-equiv="content-type" content="text/html; charset=utf-8" />
<title>[BuddyPress][6224] trunk/bp-xprofile/bp-xprofile-filters.php: Cleanup of sanitization and formatting of xprofile output</title>
</head>
<body>

<style type="text/css"><!--
#msg dl.meta { border: 1px #006 solid; background: #369; padding: 6px; color: #fff; }
#msg dl.meta dt { float: left; width: 6em; font-weight: bold; }
#msg dt:after { content:':';}
#msg dl, #msg dt, #msg ul, #msg li, #header, #footer, #logmsg { font-family: verdana,arial,helvetica,sans-serif; font-size: 10pt;  }
#msg dl a { font-weight: bold}
#msg dl a:link    { color:#fc3; }
#msg dl a:active  { color:#ff0; }
#msg dl a:visited { color:#cc6; }
h3 { font-family: verdana,arial,helvetica,sans-serif; font-size: 10pt; font-weight: bold; }
#msg pre { overflow: auto; background: #ffc; border: 1px #fa0 solid; padding: 6px; }
#logmsg { background: #ffc; border: 1px #fa0 solid; padding: 1em 1em 0 1em; }
#logmsg p, #logmsg pre, #logmsg blockquote { margin: 0 0 1em 0; }
#logmsg p, #logmsg li, #logmsg dt, #logmsg dd { line-height: 14pt; }
#logmsg h1, #logmsg h2, #logmsg h3, #logmsg h4, #logmsg h5, #logmsg h6 { margin: .5em 0; }
#logmsg h1:first-child, #logmsg h2:first-child, #logmsg h3:first-child, #logmsg h4:first-child, #logmsg h5:first-child, #logmsg h6:first-child { margin-top: 0; }
#logmsg ul, #logmsg ol { padding: 0; list-style-position: inside; margin: 0 0 0 1em; }
#logmsg > ul, #logmsg > ol { margin-left: 0; margin: 0 0 1em 0; }
#logmsg pre { background: #eee; padding: 1em; }
#logmsg blockquote { border: 1px solid #fa0; border-left-width: 10px; padding: 1em 1em 0 1em; background: white;}
#logmsg dl { margin: 0; }
#logmsg dt { font-weight: bold; }
#logmsg dd { margin: 0; padding: 0 0 0.5em 0; }
#logmsg dd:before { content:'\00bb';}
#logmsg table { border-spacing: 0px; border-collapse: collapse; border-top: 4px solid #fa0; border-bottom: 1px solid #fa0; background: #fff; }
#logmsg table th { text-align: left; font-weight: normal; padding: 0.2em 0.5em; border-top: 1px dotted #fa0; }
#logmsg table td { text-align: right; border-top: 1px dotted #fa0; padding: 0.2em 0.5em; }
#logmsg table thead th { text-align: center; border-bottom: 1px solid #fa0; }
#logmsg table th.Corner { text-align: left; }
#logmsg hr { border: none 0; border-top: 2px dashed #fa0; height: 1px; }
#header, #footer { color: #fff; background: #636; border: 1px #300 solid; padding: 6px; }
#patch { width: 100%; }
#patch h4 {font-family: verdana,arial,helvetica,sans-serif;font-size:10pt;padding:8px;background:#369;color:#fff;margin:0;}
#patch .propset h4, #patch .binary h4 {margin:0;}
#patch pre {padding:0;line-height:1.2em;margin:0;}
#patch .diff {width:100%;background:#eee;padding: 0 0 10px 0;overflow:auto;}
#patch .propset .diff, #patch .binary .diff  {padding:10px 0;}
#patch span {display:block;padding:0 10px;}
#patch .modfile, #patch .addfile, #patch .delfile, #patch .propset, #patch .binary, #patch .copfile {border:1px solid #ccc;margin:10px 0;}
#patch ins {background:#dfd;text-decoration:none;display:block;padding:0 10px;}
#patch del {background:#fdd;text-decoration:none;display:block;padding:0 10px;}
#patch .lines, .info {color:#888;background:#fff;}
--></style>
<div id="msg">
<dl class="meta">
<dt>Revision</dt> <dd><a href="http://buddypress.trac.wordpress.org/changeset/6224">6224</a></dd>
<dt>Author</dt> <dd>boonebgorges</dd>
<dt>Date</dt> <dd>2012-08-05 21:21:03 +0000 (Sun, 05 Aug 2012)</dd>
</dl>

<h3>Log Message</h3>
<pre>Cleanup of sanitization and formatting of xprofile output

In r6202 and r6204, sanitization was introduced into the xprofile output
functions, to protect against CSRF-style vulnerabilities. However, the
sanitization (esc_html()) was run in such a way that some clickable items,
such as email addresses, were double escaped, resulting in HTML tags being
printed to the screen rather than parsed by the browser.

This changeset reconfigures the sanitization procedure, so that output is
sanitized by esc_html() before being run through the formatting filters such
as make_clickable() and xprofile_filter_link_profile_data().

Fixes <a href="http://buddypress.trac.wordpress.org/ticket/4392">#4392</a>

Props rachelbaker, DJPaul</pre>

<h3>Modified Paths</h3>
<ul>
<li><a href="#trunkbpxprofilebpxprofilefiltersphp">trunk/bp-xprofile/bp-xprofile-filters.php</a></li>
</ul>

</div>
<div id="patch">
<h3>Diff</h3>
<a id="trunkbpxprofilebpxprofilefiltersphp"></a>
<div class="modfile"><h4>Modified: trunk/bp-xprofile/bp-xprofile-filters.php (6223 => 6224)</h4>
<pre class="diff"><span>
<span class="info">--- trunk/bp-xprofile/bp-xprofile-filters.php        2012-08-05 21:20:55 UTC (rev 6223)
+++ trunk/bp-xprofile/bp-xprofile-filters.php        2012-08-05 21:21:03 UTC (rev 6224)
</span><span class="lines">@@ -23,8 +23,9 @@
</span><span class="cx"> add_filter( 'bp_get_the_profile_field_value',           'convert_smilies', 2 );
</span><span class="cx"> add_filter( 'bp_get_the_profile_field_value',           'convert_chars'      );
</span><span class="cx"> add_filter( 'bp_get_the_profile_field_value',           'wpautop'            );
</span><del>-add_filter( 'bp_get_the_profile_field_value',           'make_clickable', 8  );
</del><span class="cx"> add_filter( 'bp_get_the_profile_field_value',           'force_balance_tags' );
</span><ins>+add_filter( 'bp_get_the_profile_field_value',           'make_clickable'     );
+add_filter( 'bp_get_the_profile_field_value',           'esc_html',        8 );
</ins><span class="cx"> 
</span><span class="cx"> add_filter( 'bp_get_the_profile_field_edit_value',      'force_balance_tags' );
</span><span class="cx"> add_filter( 'bp_get_the_profile_field_edit_value',      'esc_html'           );
</span><span class="lines">@@ -174,12 +175,12 @@
</span><span class="cx"> 
</span><span class="cx">                                 // More than 5 spaces
</span><span class="cx">                                 if ( count( explode( ' ', $value ) ) &gt; 5 ) {
</span><del>-                                        $new_values[] = esc_html( $value );
</del><ins>+                                        $new_values[] = $value;
</ins><span class="cx"> 
</span><span class="cx">                                 // Less than 5 spaces
</span><span class="cx">                                 } else {
</span><span class="cx">                                         $search_url   = add_query_arg( array( 's' =&gt; urlencode( $value ) ), bp_get_members_directory_permalink() );
</span><del>-                                        $new_values[] = '&lt;a href=&quot;' . $search_url . '&quot; rel=&quot;nofollow&quot;&gt;' . esc_html( $value ) . '&lt;/a&gt;';
</del><ins>+                                        $new_values[] = '&lt;a href=&quot;' . $search_url . '&quot; rel=&quot;nofollow&quot;&gt;' . $value . '&lt;/a&gt;';
</ins><span class="cx">                                 }
</span><span class="cx">                         }
</span><span class="cx">                 }
</span></span></pre>
</div>
</div>

</body>
</html>