report de http://core.spip.org/projects/spip/repository/revisions/18967 :...

report de http://core.spip.org/projects/spip/repository/revisions/18967 : éviter une XSS sur l'aide en ligne (Silvère Cainaud)

report de http://core.spip.org/projects/spip/repository/revisions/18967 :...
1dfdd64b · brunobergot@gmail.com · 359d199d · 1dfdd64b
--- a/ecran_securite.php
+++ b/ecran_securite.php
@@ -5,7 +5,7 @@
 * ------------------
 */

-define('_ECRAN_SECURITE', '1.0.7'); // 01 dec. 2011
+define('_ECRAN_SECURITE', '1.0.8'); // 07 fev. 2012

 /*
 * Documentation : http://www.spip.net/fr_article4200.html
@@ -53,7 +53,7 @@ $cjpeg_command='';
 /*     - controle la variable lang, var_recherche, aide (XSS)
 *
 */
-foreach(array('lang', 'var_recherche', 'aide') as $var) {
+foreach(array('lang', 'var_recherche', 'aide', 'var_lang_r', 'lang_r') as $var) {
 	if (isset($_GET[$var]))
 		$_REQUEST[$var] = $GLOBALS[$var] = $_GET[$var] = preg_replace(',[^\w-]+,',' ',(string)$_GET[$var]);
 	if (isset($_POST[$var]))