Add a few more escape calls to prevent nasty HTML being rendered. Also
[rails.git] / app / views / message / new.rhtml
1 <% display_name = (User.find_by_id(params[:user_id])).display_name %>
2
3 <h2>Send a new message to <%= display_name %></h2>
4
5 <% if params[:display_name] %>
6 <p>Writing a new message to <%= h(params[:display_name]) %></p>  
7 <p>TODO: drop down box of your friends</p>
8 <%end%>
9
10 <%= error_messages_for 'message' %>
11
12 <% form_for :message do |f| %>
13   <table>
14     <tr valign="top">
15       <th>Subject</th>
16       <td><%= f.text_field :title, :size => 60 %></td>
17     </tr>
18     <tr valign="top">
19       <th>Body</th>
20       <td><%= f.text_area :body, :cols => 80 %></td>
21     </tr>
22     <tr>
23       <th></th>
24       <td><%= submit_tag 'Send' %></td>
25     </tr>
26   </table>
27 <% end %>
28
29 <br />
30
31 <%= link_to 'Back to inbox', :controller => 'message', :action => 'inbox', :display_name => @user.display_name %>