On Wed, Nov 3, 2010 at 4:00 PM, Chip Bennett <span dir="ltr">&lt;<a href="mailto:chip@chipbennett.net" target="_blank">chip@chipbennett.net</a>&gt;</span> wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


Found this in another Theme:<blockquote style="margin:0 0 0 40px;border:none;padding:0px"><div><span style="font-family:&#39;Times New Roman&#39;;font-size:medium"><pre style="word-wrap:break-word;white-space:pre-wrap">Copyright &lt;?php echo date(&#39;Y&#39;) . &#39; &#39; . substr($_SERVER[&#39;HTTP_HOST&#39;], 4, 100); ?&gt;</pre>


</span></div></blockquote><div>I don&#39;t know what it&#39;s trying to do, other than pull something out of the HTTP header...</div></blockquote><div><br></div><div>This is unsafe and potentially insecure. All $_SERVER variables must never be printed without being escaped.</div>


<div><br></div><div>This needs to either have esc_html() applied to it, or preferably replaced with site_url(), or even better, bloginfo(&#39;name&#39;), which is what it&#39;s meant for.</div><div><br></div><div>Here&#39;s some reading: <span class="Apple-style-span" style="font-family: Helvetica; font-size: 12px; "><a href="http://markjaquith.wordpress.com/2009/09/21/php-server-vars-not-safe-in-forms-or-links/">http://markjaquith.wordpress.com/2009/09/21/php-server-vars-not-safe-in-forms-or-links/</a>.</span></div>

<div><br></div><div>Nacin</div>
</div>