Valider 0ab0dc62 rédigé jan. 22, 2010 par cerdic

Parcourir les fichiers

les action/editer_ acceptent de recevoir $arg en argument de la fonction au...

les action/editer_ acceptent de recevoir $arg en argument de la fonction au lieu de _request, et dans ce cas n'ont pas besoin d'etre securisees.
Permettra d'eviter l'injection de arg et hash en input hidden dans les formulaires.

parent 78485c4d

ecrire/action/editer_article.php

+5 −3

Numéro de ligne d'origine	Numéro de ligne de diff	Ligne de diff
		@@ -13,10 +13,12 @@
		if (!defined("_ECRIRE_INC_VERSION")) return;

		// http://doc.spip.org/@action_editer_article_dist
		function action_editer_article_dist() {
		function action_editer_article_dist($arg=null) {

		if (is_null($arg)){
		$securiser_action = charger_fonction('securiser_action', 'inc');
		$arg = $securiser_action();
		}

		// si id_article n'est pas un nombre, c'est une creation
		// mais on verifie qu'on a toutes les donnees qu'il faut.

ecrire/action/editer_auteur.php

+6 −3

Numéro de ligne d'origine	Numéro de ligne de diff	Ligne de diff
		@@ -13,9 +13,12 @@
		if (!defined("_ECRIRE_INC_VERSION")) return;

		// http://doc.spip.org/@action_editer_auteur_dist
		function action_editer_auteur_dist() {
		function action_editer_auteur_dist($arg=null) {

		if (is_null($arg)){
		$securiser_action = charger_fonction('securiser_action', 'inc');
		$arg = $securiser_action();
		}


		// si id_auteur n'est pas un nombre, c'est une creation

ecrire/action/editer_breve.php

+5 −3

Numéro de ligne d'origine	Numéro de ligne de diff	Ligne de diff
		@@ -13,10 +13,12 @@
		if (!defined("_ECRIRE_INC_VERSION")) return;

		// http://doc.spip.org/@action_editer_breve_dist
		function action_editer_breve_dist() {
		function action_editer_breve_dist($arg=null) {

		if (is_null($arg)){
		$securiser_action = charger_fonction('securiser_action', 'inc');
		$arg = $securiser_action();
		}

		// Envoi depuis les boutons "publier/supprimer cette breve"
		if (preg_match(',^(\d+)\Wstatut\W(\w+)$,', $arg, $r)) {

ecrire/action/editer_message.php

+5 −3

Numéro de ligne d'origine	Numéro de ligne de diff	Ligne de diff
		@@ -15,10 +15,12 @@ if (!defined("_ECRIRE_INC_VERSION")) return;
		include_spip('inc/filtres');

		// http://doc.spip.org/@action_editer_message_dist
		function action_editer_message_dist() {
		function action_editer_message_dist($arg=null) {

		if (is_null($arg)){
		$securiser_action = charger_fonction('securiser_action', 'inc');
		$arg = $securiser_action();
		}

		if (preg_match(',^(\d+)$,', $arg, $r))
		action_editer_message_post_vieux($arg);

ecrire/action/editer_mot.php

+6 −3

Numéro de ligne d'origine	Numéro de ligne de diff	Ligne de diff
		@@ -16,10 +16,13 @@ include_spip('inc/filtres');

		// Editer (modification) d'un mot-cle
		// http://doc.spip.org/@action_editer_mot_dist
		function action_editer_mot_dist()
		function action_editer_mot_dist($arg=null)
		{
		if (is_null($arg)){
		$securiser_action = charger_fonction('securiser_action', 'inc');
		$id_mot = intval($securiser_action());
		$arg = $securiser_action();
		}
		$id_mot = intval($arg);

		$id_groupe = intval(_request('id_groupe'));
		if (!$id_mot AND $id_groupe) {

Forge communautaire SPIP | Charte d'utilisation | Signaler un problème sur ce site