Le 14 mars 2013 08:15, Julien Wajsberg <[email protected]> a écrit :
> bon, ce fix me plait pas du tout.
200% d'accord qu'il est crade, mais c'est un pis aller en attendant du js.
> Moi j'essaierais bien tout simplement :
>
> if (count($_GET) > 1)
> {
> header('Content-Type: text/plain');
> http::head(403,'Forbidden');
> exit;
> }
Raté, si tu regardes admin/js/jquery.candyUpload.js, l'url avec plein
de paramètres est directement forgée via js, donc on ne peut pas faire
comme ça.
En revanche, c'est une bonne idée pour la 2.5.1, où on n'aura plus
cette verrue, et auquel cas ton fix sera pleinement justifié.
--
Bruno
_______________________________________________
Dev mailing list - [email protected] - http://ml.dotclear.org/listinfo/dev
