fix xss

static/js/newcore.js

@@ -99,8 +99,7 @@
 
 
 function errimg() {
-    // Create the HTML content
+    const content = `<center>
-    const content = <center>
                         <div class="p20 s5" style="border:none; margin:0 -20px; display:none;">
                             <b>Фото потеряно при крахе винчестера</b>
                             <div class="sm" style="margin-top:5px">
@@ -108,7 +107,7 @@ function errimg() {
                                 <a href="mailto:admin@transphoto.org?subject=Для восстановления фото 651731">admin@transphoto.org</a>
                             </div>
                         </div>
-                    </center>;
+                    </center>`;
     $('#err').html(content);
     $('#err .p20').slideDown(500);
 }

views/pages/Photo.php

@@ -127,8 +127,8 @@ if ($photo->i('id') !== null) {
                 <table class="pwrite">
                     <tr>
                     <?php
-                    if ($photo->i('place') != null) { ?>
+                    if ($photo->i('postbody') != null) { ?>
-                        <td class="nw" valign="top" align="right"><b><?= $photo->i('postbody') ?></b></td>
+                        <td class="nw" valign="top" align="right"><b><?= htmlspecialchars($photo->i('postbody')) ?></b></td>
                         <?php } ?>
                         <td class="nw" align="left" valign="top"></td>
                     </tr>
@@ -139,7 +139,7 @@ if ($photo->i('id') !== null) {
         <div>
             <?php
             if ($photo->content('comment') != null) { ?>
-            <div style="padding-top:8px"><?= $photo->content('comment') ?></div>
+            <div style="padding-top:8px"><?= htmlspecialchars($photo->content('comment')) ?></div>
             <?php } ?>
         </div><br>
         <?php