Oui. C’est exactement  ma préoccupation/interrogation, JL.

Le dim. 14 juin 2020 à 18:17, JLuc <j...@no-log.org> a écrit :

> Le 14/06/2020 à 13:25, Maïeul Rouquette a écrit :
> > Le 14/06/2020 à 09:12, JLuc a écrit :
> >> La nouvelle saisie reçoit ses arguments par l'environnement, c'est à
> dire _REQUEST.
> > moi je vois ca
> > #SET{where,'iso_moi in ("FR-GUA","FR-MTQ","FR-GUF","FR-LRE","FR-MAY")'}
> > dans le code de Thrax.
> > C'est bien un truc en dur.
>
> Oui mais il y a une nouvelle saisie qui se traduit par la création d'un
> nouveau squelette
> saisies/subdivisions.html
> qui sert pour le plugin Saisie à définir la #SAISIE
> mais qui peut aussi potentiellement être appelé directement par
> ?page=saisies/subdivisions
> avec la restriction précitée :
>  > comme [c]e squelette d'une saisie est dans un sous dossier,
>  > il n'y a que les webmasters (je crois même pas les admins ?) qui
> peuvent y accéder directement.
>  > Ça limite le risque mais c'est pas absurde de se demander comment le
> where est sanitizé.
>
> JL
>
> _______________________________________________
> liste: https://listes.rezo.net/mailman/listinfo/spip-dev
> doc: https://www.spip.net/
> dev: https://core.spip.net/
> irc://irc.freenode.net/spip
>
_______________________________________________
liste: https://listes.rezo.net/mailman/listinfo/spip-dev
doc: https://www.spip.net/
dev: https://core.spip.net/
irc://irc.freenode.net/spip

Répondre à