Author: christian_lefebvre@laposte.net
Date: Mon Jun 26 11:48:31 2006
New Revision: 3662
Log:
un beau Xss en moins + détails
Modified:
_plugins_/_ze_laboratoire_/editables/action/editer.php
_plugins_/_ze_laboratoire_/editables/exec/editer.php
_plugins_/_ze_laboratoire_/editables/inc/widgets/Vide.php
Modified: _plugins_/_ze_laboratoire_/editables/action/editer.php
--- _plugins_/_ze_laboratoire_/editables/action/editer.php (original)
+++ _plugins_/_ze_laboratoire_/editables/action/editer.php Mon Jun 26 11:48:31 2006
@@ -68,7 +68,7 @@
}
$nom= calculer_liste($p->param[0][1],
$p->descr, $p->boucles, $p->id_boucle);
- $p->code= "(\$_REQUEST['content_'.$nom])";
+ $p->code= "htmlspecialchars(\$_REQUEST['content_'.$nom], ENT_QUOTES)";
return $p;
}
Modified: _plugins_/_ze_laboratoire_/editables/exec/editer.php
--- _plugins_/_ze_laboratoire_/editables/exec/editer.php (original)
+++ _plugins_/_ze_laboratoire_/editables/exec/editer.php Mon Jun 26 11:48:31 2006
@@ -98,7 +98,7 @@
$parser = new actionParser($valeurs);
$parser->parse($actions);
$code= $parser->getCode();
- echo "<xmp>$code</xmp>\n";
+ //echo "<xmp>$code</xmp>\n";
return eval($code);
}
Modified: _plugins_/_ze_laboratoire_/editables/inc/widgets/Vide.php
--- _plugins_/_ze_laboratoire_/editables/inc/widgets/Vide.php (original)
+++ _plugins_/_ze_laboratoire_/editables/inc/widgets/Vide.php Mon Jun 26 11:48:31 2006
@@ -1,10 +1,11 @@
<?php
-include_spip('inc/widgets/Widget');
+// Classe pour un widget vide, permettant d'inserer les hidden necessaires
+// et de laisser l'auteur definir les details de son input lui meme
+// ATTENTION : l'input DOIT avoir un name content_XX, avec XX=le nom passe
+// en premier argument a #EDITABLE
-// Un Widget qui n'affiche pas de widget, mais insere les hidden qui vont bien
-// C'est a l'utilisateur de mettre la zone de saisie, qui DOIT etre nommee
-// content_XYZ, avec XYZ le nom passe en premier argument de l'appel a #EDITABLE
+include_spip('inc/widgets/Widget');
class Vide extends Widget {
function input() {