diff --git a/classesphp/mapa_controle.php b/classesphp/mapa_controle.php
index e48b81d..8d393de 100755
--- a/classesphp/mapa_controle.php
+++ b/classesphp/mapa_controle.php
@@ -121,21 +121,50 @@ $interfaceTemp = $interface;
 //
 if ($funcao != "pegaTodosTemas" && $funcao != "download3" && $funcao != "listainterfaces" && $funcao != "pegalistadetemas" && $funcao != "pegalistadeSubgrupos" && $funcao != "procurartemasestrela" && $funcao != "pegalistadegrupos" && $funcao != "pegalistademenus" && $funcao != "criaMapa" && strtoupper($funcao) != "TEMA2SLD" && strtoupper($funcao) != "PEGAMAPAS"){
 	session_name("i3GeoPHP");
-	if (isset($g_sid) && $g_sid != "")
-	{
+	if (isset($g_sid) && $g_sid != ""){
 		session_id($g_sid);
 	}
 	session_start();
 	foreach(array_keys($_SESSION) as $k){
-		if(!is_array($_SESSION[$k]))
-			eval("\$".$k."='".$_SESSION[$k]."';");
+		if(!is_array($_SESSION[$k])){
+			//eval("\$".$k."='".$_SESSION[$k]."';");
+		}
 	}
+	$statusFerramentas = $_SESSION["statusFerramentas"];
+	$imgurl = $_SESSION["imgurl"];
+	$tmpurl = $_SESSION["tmpurl"];
+	$map_file = $_SESSION["map_file"];
+	$mapext = $_SESSION["mapext"];
+	$dir_tmp = $_SESSION["dir_tmp"] ;
+	$cachedir = $_SESSION["cachedir"];
+	$emailInstituicao = $_SESSION["emailInstituicao"];
+	$locmapserv = $_SESSION["locmapserv"];
+	$locaplic = $_SESSION["locaplic"];
+	$R_path = $_SESSION["R_path"];
+	$mapext = $_SESSION["mapext"];
+	$debug = $_SESSION["debug"];
+	$ler_extensoes = $_SESSION["ler_extensoes"];
+	$postgis_mapa = $_SESSION["postgis_mapa"];
+	$perfil = $_SESSION["perfil"];
+	$navegadoresLocais = $_SESSION["navegadoresLocais"];
+	$utilizacgi = $_SESSION["utilizacgi"];
+	$tituloInstituicao = $_SESSION["tituloInstituicao"];
+	$expoeMapfile = $_SESSION["expoeMapfile"];
+	$googleApiKey = $_SESSION["googleApiKey"];
+	$mensagemInicia = $_SESSION["mensagemInicia"];
+	$interfacePadrao = $_SESSION["interfacePadrao"];
+	$interface = $_SESSION["interface"];
+	$kmlurl = $_SESSION["kmlurl"];
+	$mapdir = $_SESSION["mapdir"];
+	$imgdir = $_SESSION["imgdir"];
+	$contadorsalva = $_SESSION["contadorsalva"];
+	$i3georendermode = $_SESSION["i3georendermode"];
+	$saikuUrl = $_SESSION["saikuUrl"];
 	//sao arrays
 	$postgis_mapa = $_SESSION["postgis_mapa"];
 	$statusFerramentas = $_SESSION["statusFerramentas"];
-	if(isset($fingerprint))	{
-		//if (md5('I3GEOSEC' . $_SERVER['HTTP_USER_AGENT'] . session_id()) != $fingerprint)
-		$f = explode(",",$fingerprint);
+	if(isset($_SESSION['fingerprint']))	{
+		$f = explode(",",$_SESSION['fingerprint']);
 		if($f[0] != md5('I3GEOSEC' . $_SERVER['HTTP_USER_AGENT'] . session_id())){
 			include_once("funcoes_gerais.php");
 			cpjson(". Tentativa de acesso nao permitida. Inicie um novo mapa.");
diff --git a/classesphp/sani_request.php b/classesphp/sani_request.php
new file mode 100755
index 0000000..f2b31bb
--- /dev/null
+++ b/classesphp/sani_request.php
@@ -0,0 +1,58 @@
+<?php
+if (basename(__FILE__) == basename($_SERVER['SCRIPT_FILENAME'])){
+	exit;
+}
+error_reporting(0);
+$bl = array("_decode","php","eval","passthru","shell_exec","escapeshellarg","escapeshellcmd","proc_close","proc_open","dl","popen","contents","delete","drop","update","insert","exec","system",";");
+if (isset($_GET)){
+	foreach(array_keys($_GET) as $k)	{
+		$k = str_ireplace($bl,"",$k);
+		$k = filter_var($k, FILTER_SANITIZE_STRING);
+		if ($_GET[$k] != "''"){
+			$v = strip_tags($_GET[$k]);
+			$v = str_ireplace($bl,"",$v);
+			$_GET[$k] = trim($v);
+		}
+	}
+}
+if (isset($_POST)){
+	foreach(array_keys($_POST) as $k){
+		$k = str_ireplace($bl,"",$k);
+		$k = filter_var($k, FILTER_SANITIZE_STRING);
+		$_POST[$k] = str_ireplace($bl,"",$_POST[$k]);
+		if (($_POST[$k] != "''")){
+			$_POST[$k] = strip_tags(trim($_POST[$k]));
+		}
+
+		if (($_POST[$k] != "''") && ($k == "cpaint_argument"))
+		{
+			foreach($_POST["cpaint_argument"] as $argumento_)
+			{
+				if (strtoupper(substr(PHP_OS, 0, 3) == 'WIN'))
+				{$argumento_ = str_replace("\\\"","",$argumento_);}
+				else
+				{$argumento_ = str_replace("\"","",$argumento_);}
+				$argumento_ = explode('"',$argumento_);
+				$argumento_ = implode("&",$argumento_);
+				$parametros_ = explode("&",$argumento_);
+				foreach($parametros_ as $parametro_)
+				{
+					$p_ = explode("=",$parametro_);
+					$parametro = $p_[0];
+					$p_ = array_slice($p_, 1, count($p_));
+					$valor_ = implode("=",$p_);
+					if($parametro != ""){
+						$valor_ = str_replace("'","*#*",$valor_);
+						$valor_ = trim($valor_);
+						$parametro = filter_var($parametro, FILTER_SANITIZE_STRING);
+						$valor = filter_var($valor, FILTER_SANITIZE_STRING);
+						$_POST[$parametro] = str_replace('*#*',"'",$valor_);
+						//eval("\$".$parametro."='".(trim($valor_))."';");
+						//eval("\$".$parametro."=str_replace('*#*','\'',\$".$parametro.");");
+					}
+				}
+			}
+		}
+	}
+}
+?>
\ No newline at end of file
diff --git a/ferramentas/parametrossql/exec.php b/ferramentas/parametrossql/exec.php
index 9caeade..0413e03 100755
--- a/ferramentas/parametrossql/exec.php
+++ b/ferramentas/parametrossql/exec.php
@@ -129,6 +129,9 @@ switch (strtoupper($funcao))
 	 * Utilizado para pegar a lista de valores que sera apresentada ao usuario
 	 */
 	case "INCLUDEPROG":
+		//evita redirecoina o programa para algum lugar indevido
+		$prog = str_replace(".","",$prog);
+		$prog = $prog.".php";
 		if(file_exists($locaplic."/".$prog)){
 			include($locaplic."/".$prog);
 		}
diff --git a/ferramentas/storymap/default.php b/ferramentas/storymap/default.php
index 0df7b50..70094b7 100755
--- a/ferramentas/storymap/default.php
+++ b/ferramentas/storymap/default.php
@@ -1,4 +1,5 @@
 <?php
+exit;
 //exemplo: http://localhost/i3geo/ferramentas/storymap/default.php?tema=_lreal&layers=_lbiomashp _llocali
 //temas do i3geo podem ser incluidos em &layers separados por espacos
 	if(empty($_GET["tema"])){
diff --git a/ferramentas/storymap/manutencao.php b/ferramentas/storymap/manutencao.php
index f0a1ebd..5268cc6 100755
--- a/ferramentas/storymap/manutencao.php
+++ b/ferramentas/storymap/manutencao.php
@@ -1,4 +1,5 @@
 <?php
+exit;
 include_once(dirname(__FILE__)."/../inicia.php");
 include_once(dirname(__FILE__)."/../../admin/php/login.php");
 $funcoesEdicao = array(
diff --git a/ms_criamapa.php b/ms_criamapa.php
index 10e8344..ffa4a18 100755
--- a/ms_criamapa.php
+++ b/ms_criamapa.php
@@ -77,7 +77,7 @@ desligar - lista com os nomes dos temas que ser&atilde;o for&ccedil;ados a inici
 
 mapext - extensao geografica que ser&aacute; utilizada. Por padr&atilde;o, a extens&atilde;o geogr&aacute;fica &eacute; definida para abranger o Brasil todo. Para alterar o padr&atilde;o deve-se utilizar o par&acirc;metro mapext para especificar a nova abrang&ecirc;ncia. Essa abrang&ecirc;ncia deve ser definida em coordenadas no formato d&eacute;cimos de grau e na proje&ccedil;&atilde;o geogr&aacute;fica. Exemplo: &mapext=-54 -30 -50 -12. Observe que a ordem dos valores s&atilde;o xmin ymin xmax ymax
 
-executa - programa ou fun&ccedil;&atilde;o em php que ser&aacute; executado via include. O include &eacute; feito no final do processo de inicializa&ccedil;&atilde;o quando a vari&aacute;vel $tmpfname j&aacute; est&aacute; definida. Essa vari&aacute;vel guarda o nome do arquivo mapfile que ser&aacute; utilizado pelo i3geo.
+executa - (depreciado) programa ou fun&ccedil;&atilde;o em php que ser&aacute; executado via include. O include &eacute; feito no final do processo de inicializa&ccedil;&atilde;o quando a vari&aacute;vel $tmpfname j&aacute; est&aacute; definida. Essa vari&aacute;vel guarda o nome do arquivo mapfile que ser&aacute; utilizado pelo i3geo.
 
 interface - nome da interface que ser&aacute; utilizada para abrir o mapa. As interfaces s&atilde;o arquivos HTML que podem estar no diret&oacute;rio aplicmap. Por default, utiliza-se o geral.htm. Vc pode copiar esse html e alter&aacute;-lo para customizar o mapa. Para chamar o html customizado, utilize ms_criamapa.php?interface=meumapa.htm
 
@@ -156,8 +156,6 @@ desligar - lista com os nomes dos temas que ser&atilde;o for&ccedil;ados a inici
 
 mapext - extensao geografica que ser&aacute; utilizada. Por padr&atilde;o, a extens&atilde;o geogr&aacute;fica &eacute; definida para abranger o Brasil todo. Para alterar o padr&atilde;o deve-se utilizar o par&acirc;metro mapext para especificar a nova abrang&ecirc;ncia. Essa abrang&ecirc;ncia deve ser definida em coordenadas no formato d&eacute;cimos de grau e na proje&ccedil;&atilde;o geogr&aacute;fica. Exemplo: &mapext=-54 -30 -50 -12. Observe que a ordem dos valores s&atilde;o xmin ymin xmax ymax
 
-executa - programa ou fun&ccedil;&atilde;o em php que ser&aacute; executado via include. O include &eacute; feito no final do processo de inicializa&ccedil;&atilde;o quando a vari&aacute;vel $tmpfname j&aacute; est&aacute; definida. Essa vari&aacute;vel guarda o nome do arquivo mapfile que ser&aacute; utilizado pelo i3geo.
-
 interface - nome da interface que ser&aacute; utilizada para abrir o mapa. As interfaces s&atilde;o arquivos HTML que podem estar no diret&oacute;rio aplicmap. Por default, utiliza-se o geral.htm. Vc pode copiar esse html e alter&aacute;-lo para customizar o mapa. Para chamar o html customizado, utilize ms_criamapa.php?interface=meumapa.htm
 
 perfil - perfil utilizado para restringir os menus de temas. ms_criamapa.php?perfil=usu&aacute;rio1
@@ -226,42 +224,57 @@ filtros - filtros podem ser adicionados incluindo o parametro da seguinte forma:
 //quando $funcao existe, &eacute; pq o ms_criamapa.php est&aacute; sendo utilizado como um include em classesphp/mapa_controle.php
 //
 ms_ResetErrorList();
+if(!isset($funcao)){
+	ob_end_clean();
+	/*
+	 Carrega as extens&otilde;es PHP
+
+	 Carrega as extens&otilde;es utilizadas no programa de inicializa&ccedil;&atilde;o.
+	 A carga das extens&otilde;es geralmente &eacute; necess&aacute;ria nas instala&ccedil;&otilde;es windows (ms4w) ou quando as mesmas n&atilde;o s&atilde;o carregadas pela pr&oacute;pria inicializa&ccedil;&atilde;o do PHP.
+	 */
+	include_once (dirname(__FILE__)."/classesphp/carrega_ext.php");
+	/*
+	 Include dos arquivos PHP.
+
+	 Inclui os programas php com fun&ccedil;&otilde;es utilizadas pelo ms_criamapa.php
+	 */
+	include_once (dirname(__FILE__)."/classesphp/sani_request.php");
+	$base = $parurl["base"];
+	$temasa = $parurl["temasa"];
+	$layers = $parurl["layers"];
+	$desligar = $parurl["desligar"];
+	$mapext = $parurl["mapext"];
+	$executa = "";//$parurl["executa"];
+	$interface = $parurl["interface"];
+	$perfil = $parurl["perfil"];
+	$caminho = $parurl["caminho"];
+	$pontos = $parurl["pontos"];
+	$nometemapontos = $parurl["nometemapontos"];
+	$linhas = $parurl["linhas"];
+	$nometemalinhas = $parurl["nometemalinhas"];
+	$poligonos = $parurl["poligonos"];
+	$nometemapoligonos = $parurl["nometemapoligonos"];
+	$simbolo = $parurl["simbolo"];
+	$corsimbolo = $parurl["corsimbolo"];
+	$tamanhosimbolo = $parurl["tamanhosimbolo"];
+	$wkt = $parurl["wkt"];
+	$nometemawkt = $parurl["nometemawkt"];
+	$idioma = $parurl["idioma"];
+	$kmlurl = $parurl["kmlurl"];
+	$url_wms = $parurl["url_wms"];
+	$layer_wms = $parurl["layer_wms"];
+	$style_wms = $parurl["style_wms"];
+	$nome_wms = $parurl["nome_wms"];
+	$srs_wms = $parurl["srs_wms"];
+	$image_wms = $parurl["image_wms"];
+	$versao_wms = $parurl["versao_wms"];
+	$gvsigview = $parurl["gvsigview"];
+	$restauramapa = $parurl["restauramapa"];
+}
 $parurl = array_merge($_GET,$_POST);
-if (!isset($parurl["debug"]))
-{error_reporting(0);$debug="nao";}
-else
-{error_reporting(0);$debug="sim";}
-if(!isset($funcao))
-{ob_end_clean();}
-/*
-Carrega as extens&otilde;es PHP
-
-Carrega as extens&otilde;es utilizadas no programa de inicializa&ccedil;&atilde;o.
-A carga das extens&otilde;es geralmente &eacute; necess&aacute;ria nas instala&ccedil;&otilde;es windows (ms4w) ou quando as mesmas n&atilde;o s&atilde;o carregadas pela pr&oacute;pria inicializa&ccedil;&atilde;o do PHP.
-*/
-include_once (dirname(__FILE__)."/classesphp/carrega_ext.php");
-/*
-Include dos arquivos PHP.
-
-Inclui os programas php com fun&ccedil;&otilde;es utilizadas pelo ms_criamapa.php
-*/
-include_once (dirname(__FILE__)."/classesphp/pega_variaveis.php");
 include_once (dirname(__FILE__)."/classesphp/funcoes_gerais.php");
 $versao = versao();
 $versao = $versao["principal"];
-//
-//verifica a sessao que controla o login do usuario
-//
-/*
-session_name("i3GeoLogin");
-session_start();
-if(empty($_SESSION["usuario"])){
-	setcookie("i3geocodigologin", session_id());
-	setcookie("i3geousuariologin", "");
-	setcookie("i3GeoLogin", "");
-	session_destroy();
-}
-*/
 
 //
 //a vari&aacute;vel $base pode ser definida em ms_configura, mas a prefer&ecirc;ncia &eacute; pela defini&ccedil;&atilde;o j&aacute; existente
@@ -407,11 +420,8 @@ $_SESSION["cachedir"] = $cachedir_;
 $_SESSION["emailInstituicao"] = $emailInstituicao_;
 $_SESSION["locmapserv"] = $locmapserv_;
 $_SESSION["locaplic"] = $locaplic_;
-//$_SESSION["locsistemas"] = $locsistemas_;
-//$_SESSION["locidentifica"] = $locidentifica_;
 $_SESSION["R_path"] = $R_path_;
 $_SESSION["mapext"] = $mapext_;
-
 $_SESSION["debug"] = $debug_;
 $_SESSION["ler_extensoes"] = $ler_extensoes_;
 $_SESSION["postgis_mapa"] = $postgis_mapa_;
@@ -419,15 +429,16 @@ $_SESSION["perfil"] = $perfil_;
 $_SESSION["navegadoresLocais"] = $navegadoresLocais_;
 $_SESSION["utilizacgi"] = $utilizacgi_;
 $_SESSION["tituloInstituicao"] = $tituloInstituicao_;
-//$_SESSION["atlasxml"] = $atlasxml;
 $_SESSION["expoeMapfile"] = $expoeMapfile;
 $_SESSION["googleApiKey"] = $googleApiKey_;
 $_SESSION["mensagemInicia"] = $mensagemInicia_;
 $_SESSION["interfacePadrao"] = $interfacePadrao_;
-if(isset($interface_))
-$_SESSION["interface"] = $interface_;
-if(isset($kmlurl_))
-$_SESSION["kmlurl"] = $kmlurl_;
+if(isset($interface_)){
+	$_SESSION["interface"] = $interface_;
+}
+if(isset($kmlurl_)){
+	$_SESSION["kmlurl"] = $kmlurl_;
+}
 //rotina de seguran&ccedil;a, ver http://shiflett.org/articles/the-truth-about-sessions
 $fingerprint = 'I3GEOSEC' . $_SERVER['HTTP_USER_AGENT'];
 $_SESSION['fingerprint'] = md5($fingerprint . session_id());
@@ -440,7 +451,7 @@ $_SESSION["saikuUrl"] = $saikuUrl_;
 //pega todas as vari&aacute;veis da sess&atilde;o, mesmo as que foram definidas anteriormente
 //
 foreach(array_keys($_SESSION) as $k){
-	eval("\$".$k."='".$_SESSION[$k]."';");
+	//eval("\$".$k."='".$_SESSION[$k]."';");
 }
 //sao arrays
 $postgis_mapa = $postgis_mapa_;
--
libgit2 0.21.2