Les articles publiés sur le site
-
19 décembre 2018, par maieul@…
— Log
En cas de afficher_si malicieux, considérer que la condition est toujour remplie.
J'en profite par préciser le risque de afficher_si malicieuse.
Le problème N'EST PAS au niveau des envois des internautes (là c'est
sécurisé, on teste une chaine, sans l'executer), mais dans la définition
même du afficher_si. Donc il faut déjà que la personne ait accès à sa
définition.
C'est du même ordre que l'interdiction de script php dans le contenu
d'un article.
-
19 décembre 2018, par maieul@…
— Log
oups
-
19 décembre 2018, par maieul@…
— Log
saisies moinx verbeux
-
19 décembre 2018, par maieul@…
— Log
les afficher_si fonctionnent avec eval.
Du coup on pourrait s'en servir pour executer du code PHP et pas
simplement faire des tests conditionnels.
On limite les dégats en empêchant l'emploi de $ et de ; dans un
afficher_si, sauf si entre guillemets.
Début de tests unitaires pour saisies, parce que ce sont vraiment des
emplois complexes.
-
9 décembre 2018, par maieul@…
— Log
afficher_si sur un IN sur tableau (checkbox). Verifier aussi les cas où c'est un qui est passé et pas un _request (évite une erreur de parsing)
