OK, je vois mieux le problème. Merci pour ces explications.
Bon, je suis pas enchanté à l'idée d'utiliser une variable php pour y coller
le résultat et ensuite de défaire ce qui a été fait. D'une part, cela alourdit la
charge du serveur et d'autre part, à chaque modification du filtre antiscript
il faut aussi modifier le filtre 'anti-antiscript" ce qui n'est pas forcément
très pratique coté maintenabilité.
Est-ce qu'il ne serait pas plutôt possible de mettre en place un mécanisme du genre
un filtre qui permet de spécifier si on autorise les scripts php et javascript.
Je m'explique:
Syntaxe:
[(#TEXTE|autorise_java|autorise_php|mon_filtre_dangereux)]
Si les filtres “autorise_java” et “autorise_php” sont appelés, alors les filtres antiscript sont
effectués avant les filtres perso (soire “sautés”) sinon, on applique ces filtre après les filtres perso (comme c’est le cas
actuellement). Ça doit pouvoir se faire en basculant un flag et en testant sa valeur. Il suffit alors de bien expliquer dans la
doc que cette contruction comporte des risques pour la sécurité et qu’il ne faut pas l’utiliser si on ne sait pas ce que l’on fait…
Avantage: l’administrateur peut choisir sa sécurité librement, voir autoriser les scripts seulement dans certains squelettes.
Amicalement,
F.
Antoine wrote: