Author: cedric@yterium.com
Date: 2019-12-04 16:04:17 +0100 (mer, 04 déc 2019)
New Revision: 24442
Log:
Evolution de sql_in() pour des raisons de securite : le format attendu pour les valeurs est un tableau
le cas chaine continue a etre tolere pour une liste d'ids numeriques (cas ou on utilise le resultat de calcul_branche_in())
Par securite si c'est une chaine, on explode et quote chaque valeur, ce qui produira un IN sql valide mais sans resultat si on passe autre chose
Le cas d'une sous requete marchait par chance uniquement, car si une chaine etait passee elle etait potentiellement decoupee autour des virgules
Si on veut faire un IN sous requete, simplement utiliser le IN explicitement
Cette modif ne devrait pas avoir d'impact majeur car 99% des usages sont deja avec un array et les quasi seules exceptions sont les branches (sur un echantillon pifometrique)
Modified:
spip/
spip/ecrire/base/abstract_sql.php
Details: http://core.spip.org/projects/spip/repository/revisions/24442