Le 14/06/2020 à 09:00, Maïeul Rouquette a écrit :
il y a pas de raison que cela pose des problèmes de sécurités particuliers
1. TLe contenu de ton where est écrit en dur et ne dépend pas de l'internaute

il peut être passé dans le _REQUEST (post ou get)

pas de ce que je vois du code envoyé par Thrax

La nouvelle saisie reçoit ses arguments par l'environnement, c'est à dire 
_REQUEST.

Dans les conditions d'usage prévues par ce plugin, la noisette englobante 
décide la valeur de ces arguments,
mais des hackers n'utilisent pas le code mis à leur disposition dans les 
conditions prévues
puisque leur but n'est pas d'obtenir les fonctionnalités prévues.
Thrax envisage la possibilité qu'on appelle la noisette directement sans passer 
par la noisette qui l'inclut.

Comme le squelette d'une saisie est dans un sous dossier,
il n'y a que les webmasters (je crois même pas les admins ?) qui peuvent y 
accéder directement.
Ça limite le risque mais c'est pas absurde de se demander comment le where est 
sanitizé.

JL


_______________________________________________
liste: https://listes.rezo.net/mailman/listinfo/spip-dev
doc: https://www.spip.net/
dev: https://core.spip.net/
irc://irc.freenode.net/spip

Répondre à