filterjavascript doesn&#39;t filter all javascript... here is one example i noticed looking @ svn.<div><br></div><div>&lt;img src=dne onerror=alert(0) /&gt;<br><br><div class="gmail_quote">On Thu, Dec 4, 2008 at 4:21 PM,  <span dir="ltr">&lt;<a href="mailto:jondaley@devel.lifetype.net">jondaley@devel.lifetype.net</a>&gt;</span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">Author: jondaley<br>
Date: 2008-12-04 16:21:57 -0500 (Thu, 04 Dec 2008)<br>
New Revision: 6754<br>
<br>
Modified:<br>
 &nbsp; plugins/branches/lifetype-1.2/submissions/class/action/addsubmissionaction.class.php<br>
Log:<br>
have to allow HTML whether the tinymce editor is enabled or not. &nbsp;At least filter javascript<br>
<br>
Modified: plugins/branches/lifetype-1.2/submissions/class/action/addsubmissionaction.class.php<br>
===================================================================<br>
--- plugins/branches/lifetype-1.2/submissions/class/action/addsubmissionaction.class.php &nbsp; &nbsp; &nbsp; &nbsp;2008-12-04 21:16:19 UTC (rev 6753)<br>
+++ plugins/branches/lifetype-1.2/submissions/class/action/addsubmissionaction.class.php &nbsp; &nbsp; &nbsp; &nbsp;2008-12-04 21:21:57 UTC (rev 6754)<br>
@@ -70,15 +70,15 @@<br>
<br>
 &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; $this-&gt;_text = &quot;&quot;;<br>
 &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; $text = $this-&gt;_request-&gt;getValue( &quot;submissionText&quot; );<br>
- &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; $config =&amp; Config::getConfig();<br>
- &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;$htmlEnabled = $config-&gt;getValue(&quot;plugin_submissions_htmlarea_enabled&quot;);<br>
- &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;$val2 = new StringValidator($htmlEnabled);<br>
+ &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;$val2 = new StringValidator(true);<br>
 &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; if( !$val2-&gt;validate( $text )) {<br>
 &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; $errors[&quot;submissionText&quot;] = true;<br>
 &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; $message[&quot;submissionText&quot;] = $this-&gt;_locale-&gt;tr(&quot;error_submission_no_text&quot;);<br>
 &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; }<br>
 &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; else{<br>
- &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;$this-&gt;_text = $text;<br>
+ &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;// is this too much? &nbsp;Maybe just remove javascript?<br>
+// &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;$this-&gt;_text = Textfilter::filterHtml($text);<br>
+ &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;$this-&gt;_text = Textfilter::filterJavaScript($text);<br>
 &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; }<br>
<br>
 &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; $this-&gt;_categoryIds = &quot;&quot;;<br>
<br>
_______________________________________________<br>
pLog-svn mailing list<br>
<a href="mailto:pLog-svn@devel.lifetype.net">pLog-svn@devel.lifetype.net</a><br>
<a href="http://limedaley.com/mailman/listinfo/plog-svn" target="_blank">http://limedaley.com/mailman/listinfo/plog-svn</a><br>
</blockquote></div><br></div>