Author: fil@rezo.net
Date: 2009-04-10 21:44:58 +0200 (ven, 10 avr 2009)
New Revision: 13881
Log:
pas de . en dehors de celui separant l'extension, sinon il est possible d'injecter du php dans un toto.php.txt, qu'apache peut vouloir traiter comme un .php normal (attaque dite 'de vlad', patch de cerdic qui peut pas commit)
Modified:
branches/spip-1.9.2/ecrire/inc/ajouter_documents.php
branches/spip-2.0/ecrire/inc/ajouter_documents.php
spip/ecrire/inc/ajouter_documents.php