[spip-dev] Re: Sécurité avec PHP

Une idée idiote :

Comme on utilise à peu près n'importe quoi comme variables dans le code de
SPIP, on s'expose à des interactions problématiques avec d'autres scripts,
si quelqu'un essaie de les mélanger sur son site. Il serait peut-être plus
propre de recoder toutes les variables internes dans un espace de nommage
spécifique, ce qui permettrait de blinder la sécurité, de ce côté, une fois
pour toutes, et de ne pas mixer les variables SPIP avec d'autres.
Evidemment, le code va devenir un peu moins sympa à lire ou à écrire...

Dans cette hypothèse, il faudrait faire simple : $toto deviendrait $s_toto
ou quelque chose comme ça. Les variables de personnalisation et autres
bidules documentés seraient filtrés dans inc_version et transformés en
$s_dossier_squelette....

Qu'en pensez-vous ?

-- Fil

Qu'en pensez-vous ?

bonne idée, sinon, pourquoi pas :

$spip['variable']
$spip->variable
$spip->conf->variable

sinon, pour info, get_defined_vars() peut aussi nous aider a faire du
menage, et de facon dynamique.