[spip-dev] Envoyer l'article a un ami...

le 05/11/2001 0:09, Herve LEFEBVRE (aegir@free.fr) a =E9crit=A0:

Voici une version "standard SPIP" (du moins j'ai essay=E9 :wink: ) de la
fonctionalit=E9 "Envoyer cet article =E0 un ami" que j'ai mise en place sur
LinuxFrench.NET.

Merci, c'est g=E9nial ! Et en plus, =E7a marche !

Seule petite ombre au tableau : dans le message re=E7u, avant le tag <HTML>,
il y a la mention (qui appara=EEt en clair dans le corps du message) :
MIME-Version: 1.0 Content-Type: text/plain; charset=3Diso-8859-1
Content-Transfer-Encoding: 8bit

Ce qui donne, dans le source du message :
[...]

Salut,

Je n'arrive pas à mettre un script JS non lié à un lien dans du texte
d'article.
Avec ou sans le tag <HTML> le "<" de <SCRIPT> est transformé en &lt;, pas
celui de </SCRIPT>.
Ca doit se passer dans echappe_html() de inc_texte.php3 mais je ne comprends
pas tout !

Une solution ?

Merci

Raphaël

Salut,

c'est interdit pour des raisons de sécurité (éviter que des petits
malins ne postent des saloperies en PHP ou en Javascript dans les
forums ou même dans le texte d'articles ou de brèves proposés à la
publication).

a+

Antoine?

"Raphael (DreamNev.Org)" wrote:

Pourtant, je suis désolé de dire que ya un ptit couillon qui m'a mis dans un
forum la chose suivante :

&lt;Body
onLoad="alert('hakcez');document.location='http://www.microsoft.com'">

et hélas... ça marche.

Oui, enfin le but principal est qu'il ne puisse pas mettre
<? mysql_query("delete from spip_articles"); ?>, ce qui
serait autrement gênant.

Pour le Javascript, c'est plus un artefact du filtrage des
<script *> (à cause de la forme <script language="php"> qui
est utilisable dans certaines configs : je préfère filtrer
au plus large pour éviter les trous dûs aux éventuelles
largesses de parsing de PHP...)

a+

Antoine.

Herve LEFEBVRE wrote: