Changeset 112936 in spip-zone


Ignore:
Timestamp:
Dec 19, 2018, 7:56:41 AM (3 months ago)
Author:
maieul@…
Message:

En cas de afficher_si malicieux, considérer que la condition est toujour remplie.
J'en profite par préciser le risque de afficher_si malicieuse.
Le problème N'EST PAS au niveau des envois des internautes (là c'est
sécurisé, on teste une chaine, sans l'executer), mais dans la définition
même du afficher_si. Donc il faut déjà que la personne ait accès à sa
définition.
C'est du même ordre que l'interdiction de script php dans le contenu
d'un article.

Location:
_plugins_/saisies/trunk
Files:
2 edited

Legend:

Unmodified
Added
Removed
  • _plugins_/saisies/trunk/inc/saisies_afficher.php

    r112934 r112936  
    493493                        if (!saisies_verifier_securite_afficher_si($condition)) {
    494494                                spip_log("Afficher_si malicieuse : $condition", "saisies"._LOG_CRITIQUE);
    495                                 $condition = '';
     495                                $condition = '$ok';
    496496                        }
    497497                        // Est-ce uniquement au remplissage?
  • _plugins_/saisies/trunk/paquet.xml

    r112934 r112936  
    22        prefix="saisies"
    33        categorie="outil"
    4         version="3.8.6"
     4        version="3.8.7"
    55        etat="stable"
    66        compatibilite="[3.0.0;3.2.*]"
Note: See TracChangeset for help on using the changeset viewer.