]> projects.mako.cc - selectricity/blobdiff - app/controllers/quickvote_controller.rb
Add a bunch of fixes to HTML escaping, and a test case for it
[selectricity] / app / controllers / quickvote_controller.rb
index 41d0dc3616050ef909e39ebbcaa2eef7363da12f..bb60b4552b029efff74be54bba9282c7599a671f 100644 (file)
@@ -12,10 +12,9 @@ class QuickvoteController < ApplicationController
   def create
     if params[:quickvote] 
       @quickvote = QuickVote.new(params[:quickvote])
-     
       # store the candidate grabbed through ajax and stored in flash
       @quickvote.candidatelist = flash[:candlist]
-      @quickvote.description=CGI.escapeHTML(@quickvote.description)
+      @quickvote.description=@quickvote.description
       # try to save, if it fails, show the page again (the flash should
       # still be intact
       if @quickvote.save
@@ -34,7 +33,7 @@ class QuickvoteController < ApplicationController
   end
 
   def add_candidate
-    candidate_name = CGI.escapeHTML(params[:ajax][:newcandidate])
+    candidate_name = params[:ajax][:newcandidate]
     unless candidate_name.strip.empty?
       if flash.has_key?(:candlist) and flash[:candlist].instance_of?(Array) 
         flash[:candlist] << candidate_name unless flash[:candlist].index(candidate_name)
@@ -52,11 +51,9 @@ class QuickvoteController < ApplicationController
 
   def index
     @election = QuickVote.ident_to_quickvote(params[:ident])
-    
     # if the person has specified an election, we show them the voting
     # page. otherwise, we redirect back to main the page
     if @election
-
       # look to see that the voter has been created and has voted in
       # this election, and has confirmed their vote
       @voter = QuickVoter.find(:all, :conditions => ["session_id = ? and election_id = ?",
@@ -75,8 +72,8 @@ class QuickvoteController < ApplicationController
         @voter = QuickVoter.new
         @voter.election = @election
         @voter.session_id = session.session_id
-        
-             # create new vote and make it the defaulted sorted list
+             
+        # create new vote and make it the defaulted sorted list
         @voter.vote = Vote.new
              @voter.save
              @voter.vote.set_defaults!
@@ -159,7 +156,11 @@ class QuickvoteController < ApplicationController
   ###############################################################
 
   def results
-    @election = QuickVote.ident_to_quickvote(params[:ident])
+    unless @election = QuickVote.ident_to_quickvote(params[:ident])
+      flash[:notice] = "Cannot find quickvote #{params[:ident]}."
+      redirect_to :controller => 'site'
+      return
+    end
     @election.results
     @candidates = {}
     @election.candidates.each {|c| @candidates[c.id] = c}

Benjamin Mako Hill || Want to submit a patch?