quand l'argument est entier, preferer intval() que sql_quote() qui produit un...

quand l'argument est entier, preferer intval() que sql_quote() qui produit un '' erronne sur une valeur vide

quand l'argument est entier, preferer intval() que sql_quote() qui produit un...
074a57f6 · cedric@yterium.com · 359a1cb6 · 074a57f6 · 074a57f6
--- a/inc/documents.php
+++ b/inc/documents.php
@@ -29,7 +29,7 @@ if (!defined('CHARSET_JOINT')) define('CHARSET_JOINT', 'iso-8859-1');
 function contenu_document($arg, $charset='')
 {
 	if (is_numeric($arg)) {
-		$r = sql_fetsel("fichier,distant", "spip_documents", "id_document=".sql_quote($arg));
+		$r = sql_fetsel("fichier,distant", "spip_documents", "id_document=".intval($arg));
 		if (!$r) return '';
 		$f = $r['fichier'];
 		$f = ($r['distant'] =='oui') ? _DIR_RACINE . copie_locale($f) : get_spip_doc($f);
@@ -60,7 +60,7 @@ function generer_url_document_dist($id_document, $args='', $ancre='') {
 	include_spip('inc/autoriser');
 	if (!autoriser('voir', 'document', $id_document)) return '';

-	$r = sql_fetsel("fichier,distant", "spip_documents", "id_document=".sql_quote($id_document));
+	$r = sql_fetsel("fichier,distant", "spip_documents", "id_document=".intval($id_document));

 	if (!$r) return '';


--- a/medias_autoriser.php
+++ b/medias_autoriser.php
@@ -126,7 +126,7 @@ function autoriser_document_modifier($faire, $type, $id, $qui, $opt){
 	if (!isset($m[$q][$id])) {
 		$interdit = false;

-		$s = sql_select("id_objet,objet", "spip_documents_liens", "id_document=".sql_quote($id));
+		$s = sql_select("id_objet,objet", "spip_documents_liens", "id_document=".intval($id));
 		while ($t = sql_fetch($s)) {
 			if (!autoriser('modifier', $t['objet'], $t['id_objet'], $qui, $opt)) {
 				$interdit = true;