HTML escape substituted parameter values to avoid injection attacks.
[rails.git] / app / views / diary_entry / new.rhtml
index 69995d00e14e3f34f08b25f0118243ed5a9d3c12..d93e3e0235170b9f8d7313c11c5febc526180cba 100644 (file)
 <% end %>
 
 <% if @user.home_lat.nil? or @user.home_lon.nil? %>
-  <% lon =  params['lon'] || '-0.1' %>
-  <% lat =  params['lat'] || '51.5' %>
-  <% zoom =  params['zoom'] || '4' %> 
+  <% lon = h(params['lon']) || '-0.1' %>
+  <% lat = h(params['lat']) || '51.5' %>
+  <% zoom = h(params['zoom']) || '4' %> 
 <% else %>
-  <% lon =  @user.home_lon %>
-  <% lat =  @user.home_lat %>
-  <% zoom =  '12' %>
+  <% lon = @user.home_lon %>
+  <% lat = @user.home_lat %>
+  <% zoom = '12' %>
 <% end %>
 
 <script type="text/javascript" src="/openlayers/OpenLayers.js"></script>
@@ -68,4 +68,4 @@
 
   window.onload = init;
 // -->
-</script>
\ No newline at end of file
+</script>