Le 14/06/2020 à 13:25, Maïeul Rouquette a écrit :
Le 14/06/2020 à 09:12, JLuc a écrit :
La nouvelle saisie reçoit ses arguments par l'environnement, c'est à dire 
_REQUEST.
moi je vois ca
#SET{where,'iso_moi in ("FR-GUA","FR-MTQ","FR-GUF","FR-LRE","FR-MAY")'}
dans le code de Thrax.
C'est bien un truc en dur.

Oui mais il y a une nouvelle saisie qui se traduit par la création d'un nouveau 
squelette
saisies/subdivisions.html
qui sert pour le plugin Saisie à définir la #SAISIE
mais qui peut aussi potentiellement être appelé directement par 
?page=saisies/subdivisions
avec la restriction précitée :
> comme [c]e squelette d'une saisie est dans un sous dossier,
> il n'y a que les webmasters (je crois même pas les admins ?) qui peuvent y 
accéder directement.
> Ça limite le risque mais c'est pas absurde de se demander comment le where 
est sanitizé.

JL

_______________________________________________
liste: https://listes.rezo.net/mailman/listinfo/spip-dev
doc: https://www.spip.net/
dev: https://core.spip.net/
irc://irc.freenode.net/spip

Répondre à