ne rien laisser passer dans var_erreur, c'est encore plus sur et de toute facon on attends pas de HTML ici (Boulouiz Youssouf)

pull/9/head
Cerdic 4 years ago
parent e5d5150cfa
commit 3c12a82c7d

@ -138,8 +138,8 @@ function formulaires_login_charger_dist($cible = '', $login = '', $prive = null)
} elseif ($erreur) {
// une erreur d'un SSO indique dans la redirection vers ici
// mais il faut se proteger de toute tentative d'injection malveilante
include_spip('inc/texte');
$valeurs['message_erreur'] = safehtml($erreur);
include_spip('inc/filtres');
$valeurs['message_erreur'] = textebrut($erreur);
}
return $valeurs;

Loading…
Cancel
Save