Se protéger contre les inclusions arbitraires de façon générique ?
Une proposition (à débattre) qui consiste à vérifier avant l'évaluation que le fichier n'est pas stocké dans un répertoire dont le contenu peut être maitrisé par un visiteur/rédacteur :
On ajouterai un test au début de la fonction evaluer_fond() https://git.spip.net/spip/spip/src/branch/master/ecrire/public/assembler.php#L711 :
if ( preg_match('/^('._NOM_TEMPORAIRES_INACCESSIBLES.'|'._NOM_TEMPORAIRES_ACCESSIBLES.'|'._NOM_PERMANENTS_ACCESSIBLES.')\//', $fond) ){
spip_log("evaluer_fond() non autorise avec $fond", _LOG_INFO_IMPORTANTE);
return false;
}
Possible ?