Le 14/06/2020 à 18:41, Maïeul Rouquette a écrit :
Le 14/06/2020 à 18:30, Vincent Callies a écrit :
Oui. C’est exactement  ma préoccupation/interrogation, JL.

oui mais c'est valable pour n'importe quel squelette, qu'est-ce que le fait que ce soit une saisie change la donne en terme de préoccupation?

Ce nest pas le fait que ce soit une saisie. L'interrogation porte sur le 
paramètre `where`.

Utiliser une balise #TEXTE dans un squelette se traduit par le passage d'une 
chaine de caractère qui est le nom du champ
et qu'il est facile de filtrer (ça doit être un nom de champ et parfois en plus 
on sait cadrer les valeurs possibles).
C'est tout ce qui passe, le reste c'est du code SPIP bien cerné.

Mais un where est un morceau de requête MYSQL qui est passé plus ou moins 
directement à l'interpréteur MYSQL.
Potentiellement il y a plein de trucs dedans.
Il faut donc avoir une vigilance particulière et la question est légitime
...même si les devs du noyau font d'ordinaire bien attention à ça
et ça m'étonnerait qu'ils aient négligé ça.

JL

_______________________________________________
liste: https://listes.rezo.net/mailman/listinfo/spip-dev
doc: https://www.spip.net/
dev: https://core.spip.net/
irc://irc.freenode.net/spip

Répondre à