je vais pas m’étendre sur le sujet parce que bon, mais oui la question initiale 
est légitime, et il y a un patch sur ce sujet dans les tuyaux

--
Cédric
Le 14 juin 2020 à 18:56 +0200, JLuc <j...@no-log.org>, a écrit :
> Le 14/06/2020 à 18:41, Maïeul Rouquette a écrit :
> > Le 14/06/2020 à 18:30, Vincent Callies a écrit :
> > > Oui. C’est exactement  ma préoccupation/interrogation, JL.
> > >
> > oui mais c'est valable pour n'importe quel squelette, qu'est-ce que le fait 
> > que ce soit une saisie change la donne en
> > terme de préoccupation?
>
> Ce nest pas le fait que ce soit une saisie. L'interrogation porte sur le 
> paramètre `where`.
>
> Utiliser une balise #TEXTE dans un squelette se traduit par le passage d'une 
> chaine de caractère qui est le nom du champ
> et qu'il est facile de filtrer (ça doit être un nom de champ et parfois en 
> plus on sait cadrer les valeurs possibles).
> C'est tout ce qui passe, le reste c'est du code SPIP bien cerné.
>
> Mais un where est un morceau de requête MYSQL qui est passé plus ou moins 
> directement à l'interpréteur MYSQL.
> Potentiellement il y a plein de trucs dedans.
> Il faut donc avoir une vigilance particulière et la question est légitime
> ...même si les devs du noyau font d'ordinaire bien attention à ça
> et ça m'étonnerait qu'ils aient négligé ça.
>
> JL
>
> _______________________________________________
> liste: https://listes.rezo.net/mailman/listinfo/spip-dev
> doc: https://www.spip.net/
> dev: https://core.spip.net/
> irc://irc.freenode.net/spip
_______________________________________________
liste: https://listes.rezo.net/mailman/listinfo/spip-dev
doc: https://www.spip.net/
dev: https://core.spip.net/
irc://irc.freenode.net/spip

Répondre à