[spip-dev] Re: [spip-commit] _GET (fwd)

> en POST non, parce que c'est un effet collatéral d'un autre truc de
> spip (pas de chache pour les POST).

Heu... quel est le rapport avec le fait qu'il n'y ait pas de cache ?

Lis bien : "pas de chache" :wink:

Simplement le hack en question permet de défigurer une page en lui passant
la variable
    $puce = “<img src=‘http://www.heavymetal.com/ironmaiden.gif’>”

Si tu passes cette variable mais que le résultat n'est pas mis en chache, tu
as défiguré la pagee que le serveur te renvoie... c'est assez faible comme
hack :wink: Il faut qu'elle reste en chache pour qu'il y ait un effet notable...

-- Fil

Simplement le hack en question permet de défigurer une page en lui passant
la variable
    $puce = “<img src=‘http://www.heavymetal.com/ironmaiden.gif’>”

Ouah l'autre y m'a défacé mon site !

'tain, quand tu parlais de sécurité, je croyais que tu sous-entendais
un truc du genre $puce = "<?php mysql_query('DELETE FROM spip_articles');
echo 'you have been hacked by john_kevin666 !'; ?>"
Pfff....

'tain, quand tu parlais de sécurité, je croyais que tu sous-entendais
un truc du genre $puce = "<?php mysql_query('DELETE FROM spip_articles');
echo 'you have been hacked by john_kevin666 !'; ?>"

Ah non, non pour ça il y a la fonction de sécurité de propre()

Pfff....

Bin quoi ? C'est évidemment un trou de sécurité, pas gros mais à
prévenir quand même ; sinon le spip-deface-kit sera dans la nature dans pas
longtemps :wink:

-- Fil