Author: esj@rezo.net
Date: 2009-06-25 21:42:21 +0200 (jeu, 25 jun 2009)
New Revision: 14149
Log:
Bon, SPIP ne sait pas traiter les requêtes SQL imbriquées, d'accord, mais si on ne propage pas le préfixe de tables dans de telles requêtes, on obtient un cas de piraterie intéressant: la requête imbriquée va lire la table "spip" de la base quel que soit le préfixe. Les config où ce n'est pas de l'auto-piraterie doivent être rares, mais tout de même.
Modified:
branches/spip-2.0/ecrire/req/mysql.php
spip/ecrire/req/mysql.php