Coucou,
2016-02-10 7:59 GMT+01:00 James <james@rezo.net>:
Avant j’avais dis :
Pour sécuriser mieux spip et se simplifier la vie, on devrait utiliser les fonction de nettoyage disponibles par défaut à partir de la version 5.2
Qu’en pensez-vous ?
C’est ce que je proposai il y a une quinzaine de jours. C’est bien d’en faire à sujet à part sur spip-dev.
Mais… ce titre de sujet « PHP 5.2 au minimum pour SPIP 3.2 » porte à confusion. Il a déjà été décidé que c’était PHP5.3 le minimum. Pourquoi ce malentendu depuis le début de nos échanges ?
Enfin, sur le sujet réel, utiliser les filtres natifs de PHP pour sécuriser les entrées des utilisateurs, je rappelle que cela exige beaucoup de tests. Il ne faudra pas coder ça à la truelle 
A oui bien sûr. Mea culpa pour l’ambiguïté
Pour PHP 5.3 je ne sais plus quels filtres étaient concernés.
Mais tu as raison sur un point concernant les fonctions de PHP, il faut parfois s’en méfier. La simplification peut entrainer des faiblesses.
Par exemple, htmlspecialchars() n’utilise pas, par défaut, l’utf8 avant php5.6, et ne permet pas de traiter l’encodage utf7 qui peut être utilisé pour passer outre certaines protections.
Il y a des infos à ce sujet sur
- https://code.google.com/archive/p/doctype-mirror/wikis/ArticleUtf7.wiki
- http://wordpress.stackexchange.com/questions/77108/if-a-hacker-changed-the-blog-charset-to-utf-7-does-that-make-wordpress-vulnerabl
- http://www.securiteam.com/securityreviews/5GP3G005FA.html
(IE9 supportait encore utf7. CF. la page de test http://labs.toscho.de/encoding-test/)