[spip-dev] Balise <imgx|left>, problème agaçant

9b52b1721270cf668c0e · Juillet 12, 2006, 4:15

Bonjour tous,

J'avais sytématiquement un problème agaçant si je voulais afficher un texte (#TEXTE) qui contenait une balise spip du type : <img1|left> en faisant en php un :

echo '#TEXTE';

Avec une erreur de script à la clé.

Ceci était normal : en html le code généré étant de ce type:

p class="spip"><span class='spip_documents spip_documents_left' style='float: left; width: 215px;'><img src='IMG/jpg/SanctusRaphael.jpg'
      width='215'
      height='300'
      style="border-width: 0px;" alt="(JPG)" /></span>

mélangeant allègrment les ' et les ".

Sur la version 1.8.3 j'ai modifié ecrire/inc_documents.php3, lignes 280 à environ 301 de la manière suivante :

$if ($mode == 'document' AND $type_aff == 'DOC') {
$alt = " alt=\"$alt_infos_doc\" title=\"$alt_infos_doc\"";
}
en ceci :

if ($mode == 'document' AND $type_aff == 'DOC') {
$alt = " alt='$alt_infos_doc' title='$alt_infos_doc'";
}

Je ne sais pas si la modif aurait été faite en 1.9, par contre sur la 1.8.3, du coup je peux tout à fait gérer avec un peu de php la balise texte.

Voilà. Je ne sais pas si cela vous est utile

A vous de voir

Bien à vous

Pierre Lo Cicero

fil · Juillet 12, 2006, 4:47

il y a un filtre spécialisé pour ça :

echo '#TEXTE';

à remplacer par
echo '[(#TEXTE|texte_script)]';

-- Fil

JLuc · Juillet 13, 2006, 6:50

Fil wrote:

il y a un filtre spécialisé pour ça :

echo '#TEXTE';

à remplacer par
echo '[(#TEXTE|texte_script)]';

Il m'a semblé par contre que c'était pas nécessaire pour les #titre
mais ça m'étonne tellement que ... y aurait il un traitement spécial ?
JL

fil · Juillet 13, 2006, 7:06

> il y a un filtre spécialisé pour ça :
>> echo '#TEXTE';
> à remplacer par
> echo '[(#TEXTE|texte_script)]';

Il m'a semblé par contre que c'était pas nécessaire pour les #titre
mais ça m'étonne tellement que ... y aurait il un traitement spécial ?

C'est indispensable pour tous les champs qu'on passe en php (hormis les
champs numériques comme #ID_RUBRIQUE évidemment). Car ils peuvent tous avoir
une apostrophe ' s'ils contiennent (par exemple) la séquence <html>'</html>.

-- Fil

JLuc · Juillet 14, 2006, 11:21

Fil wrote:

il y a un filtre spécialisé pour ça :

echo '#TEXTE';

à remplacer par
echo '[(#TEXTE|texte_script)]';

Il m'a semblé par contre que c'était pas nécessaire pour les #titre
mais ça m'étonne tellement que ... y aurait il un traitement spécial ?

C'est indispensable pour tous les champs qu'on passe en php (hormis les
champs numériques comme #ID_RUBRIQUE évidemment). Car ils peuvent tous avoir
une apostrophe ' s'ils contiennent (par exemple) la séquence <html>'</html>.

ben oui... c'est bien ce qu'il me semble
pourtant sur un squelette j'ai inexplicablement un
$titre_prec = '[(#TITRE|supprimer_numero)]';
suivi de
echo $titre_prec;
qui marche très bien même si il y a des quotes ou apostrophes ou guillemets
dans le titre... en effet, à l'examen, les ' sont transformés en ’
(c'est pas moi le responsable !)
d'où pani probleme.

(C'est une un peu vieille version de spip...)

JL

9b52b1721270cf668c0e · Juillet 14, 2006, 12:24

Fil a écrit :

Est-ce que ce filtre ne pourrait pas être avantageusement remplacé par Ces modifs ?

Non car c'est générique. Recopie précisément ce qui suit dans ton champ texte :

Hop.<html>'; print_r($_SERVER); echo '</html>. et voilà...

et tu verras que la commande php print_r($_SERVER) est directement exécutée
dans l'espace public.

Evidemment un attaquant méchant mettrait plutôt une commande php méchante
(du genre qui efface toute ta base de données).

ça je comprend bien, mais y'a t'il une objection à modifier les bout de code comme je l'ai fait ?
C'est à dire à unifier la syntaxe ce qui éviterait la possibilité des codes malicieux dans le corps du texte qui risque de se produire avec la balise et le filtre cité plus haut.

Pierre lo Cicero

fil · Juillet 14, 2006, 6:09

ça je comprend bien, mais y'a t'il une objection à modifier les bout de
code comme je l'ai fait ?
C'est à dire à unifier la syntaxe ce qui éviterait la possibilité des
codes malicieux dans le corps du texte qui risque de se produire avec la
balise et le filtre cité plus haut.

Non ça n'a rien à voir : le fait que la balise <img> provoque un plantage
dans ton cas permet de montrer que ton squelette est insécure (autrement dit
"troué"). EN bonne logique, ça devrait t'encourager à le réparer, pas à
éviter le plantage révélateur ?

-- Fil