v 1.1.9 : on est plus radical avec les tentatives d'injection par connect :...

v 1.1.9 : on est plus radical avec les tentatives d'injection par connect : aucune chance que ce soit une demande licite, on bloque donc le hit, cela evite de generer des cache compiles foireux

v 1.1.9 : on est plus radical avec les tentatives d'injection par connect :...
da437075 · cedric@yterium.com · 34fe7488 · da437075
--- a/ecran_securite.php
+++ b/ecran_securite.php
@@ -5,7 +5,7 @@
 * ------------------
 */

-define('_ECRAN_SECURITE', '1.1.8'); // 2013-08-29
+define('_ECRAN_SECURITE', '1.1.9'); // 2014-03-13

 /*
 * Documentation : http://www.spip.net/fr_article4200.html
@@ -254,13 +254,12 @@ if (isset($_REQUEST['connect'])
 	AND
 	// cas qui permettent de sortir d'un commentaire PHP
 	(strpos($_REQUEST['connect'], "?")!==false
+	 OR strpos($_REQUEST['connect'], "<")!==false
 	 OR strpos($_REQUEST['connect'], ">")!==false
 	 OR strpos($_REQUEST['connect'], "\n")!==false
 	 OR strpos($_REQUEST['connect'], "\r")!==false)
 	) {
-	$_REQUEST['connect'] = str_replace(array("?", ">", "\r", "\n"), "", $_REQUEST['connect']);
-	if (isset($_GET['connect'])) $_GET['connect'] = $_REQUEST['connect'];
-	if (isset($_POST['connect'])) $_POST['connect'] = $_REQUEST['connect'];
+	$ecran_securite_raison = "malformed connect argument";
 }

 /*
@@ -317,4 +316,4 @@ if (
 }


-?>
+?>
\ No newline at end of file