sous la douche ce matin j'ai pensé que la limite actuelle de syntaxe
spip.php?page=dir/squelette
pourrait être levée pour les admin connectés.
Cette limite a été mise en place pour empêcher l'accès à du contenu sur le serveur en cas de config PHP pas tout à fait sécurisée.
Je pense donc qu'il est bien de la garder.
Mais la lever pour les admins connectés, ou pour les webmestres, permettrait :
- de debug plus facilement en testant un squelette inclus sans avoir à le recopier à la racine pour cela
- de stocker ses squelettes de test dans un sous répertoire tests/, permettant ainsi de les protéger d'un accès par le public (cf un cas récent d'un plugin assez utilisé ...)
Techniquement, c'est assez simple et pas couteux en terme de perf, car la verification des droits ne sera faite qu'en cas de la présence d'un '/' dans la valeur de page.
* cedric.morin@yterium.com tapuscrivait, le 14/07/2009 16:11:
Hello,
sous la douche ce matin j'ai pensé que la limite actuelle de syntaxe
spip.php?page=dir/squelette
pourrait être levée pour les admin connectés.
Cette limite a été mise en place pour empêcher l'accès à du contenu sur le serveur en cas de config PHP pas tout à fait sécurisée.
Je pense donc qu'il est bien de la garder.
Mais la lever pour les admins connectés, ou pour les webmestres, permettrait :
- de debug plus facilement en testant un squelette inclus sans avoir à le recopier à la racine pour cela
- de stocker ses squelettes de test dans un sous répertoire tests/, permettant ainsi de les protéger d'un accès par le public (cf un cas récent d'un plugin assez utilisé ...)
Techniquement, c'est assez simple et pas couteux en terme de perf, car la verification des droits ne sera faite qu'en cas de la présence d'un '/' dans la valeur de page.
Qu'en pensez vous ?
J'applaudis des deux mains !
Tout ce que tu décrit correspond à des besoins que j'ai rencontrés.
Les squelettes de tests sont déjà dans un répertoire test... mais on ne peut effectivement pas les appeler directement. Je pense que c'est une bonne idée de lever le / pour les webmestre, même si ça ajoute un encore un peu plus de bazar dans toutes nos écritures...
Sinon, autoriser pour les admins un :
&var_dir=1 ou &var_subdir=1 ou un terme français.
Un parametre var_qqc pour forcer un comportement non prévu me semble le plus dans la logique SPIP.