r13881 - branches/spip-1.9.2/ecrire/inc branches/spip-2.0/ecrire/inc spip/ecrire/inc

Author: fil@rezo.net
Date: 2009-04-10 21:44:58 +0200 (ven, 10 avr 2009)
New Revision: 13881

Log:
pas de . en dehors de celui separant l'extension, sinon il est possible d'injecter du php dans un toto.php.txt, qu'apache peut vouloir traiter comme un .php normal (attaque dite 'de vlad', patch de cerdic qui peut pas commit)

Modified:
   branches/spip-1.9.2/ecrire/inc/ajouter_documents.php
   branches/spip-2.0/ecrire/inc/ajouter_documents.php
   spip/ecrire/inc/ajouter_documents.php

Details: http://trac.rezo.net/trac/spip/changeset/13881