http://jcdenis.scribox.net/index.php?buttonText=test%3Cimg%20src=%27http://demo.swfupload.org/v220/images/logo.gif%27%3E&pf=swfupload.swf => ok, 403
donc ya juste le problème de si on balance des trucs crades après le nom du fichier. faut verifier ce que fait path::clean et peut-être même le virer. (je peux pas là, désolé) 2013/4/11 Jean-Christian Denis <[email protected]> > Test sur jcdenis.scribox.net c'est une 2.5 toute neuve. jcd.lv est > bordélique une nightly r1109 ou un truc comme ça. Je ne suis pas devant le > PC. > > > Julien Wajsberg <[email protected]> a écrit : > > tu es bien sur la version 2.5 sur cette install ? > > > 2013/4/11 Alexandre <[email protected]> > >> >> >> >> 2013/4/11 Julien Wajsberg <[email protected]> >> >>> Donc il semble que quand on met '?' au lieu du '&', on se retrouve avec >>> l'ensemble de la chaine dans pf=, et du coup mon count($_GET) est bien égal >>> à 1, et je suppose (mais pas vérifié) que path::clean vire tout ce qui est >>> après .swf, et que le swf lui-même parse l'URL sans se soucier de si elle >>> est valide ou pas. >>> >> >> Pour path::clean, pourrais-tu vérifier ? Je ne comprends pas dans ce >> cas-là pourquoi ceci marche : >> >> >> http://jcd.lv/index.php?buttonText=test%3Cimg%20src=%27http://demo.swfupload.org/v220/images/logo.gif%27%3E&pf=swfupload.swf >> >> peut-être un var_dump($_GET, $_REQUEST, etc) >> >> -- >> Alexandre >> >> _______________________________________________ >> Dev mailing list - [email protected] - >> http://ml.dotclear.org/listinfo/dev >> > > > _______________________________________________ > Dev mailing list - [email protected] - > http://ml.dotclear.org/listinfo/dev >
_______________________________________________ Dev mailing list - [email protected] - http://ml.dotclear.org/listinfo/dev
