Closed B4rb3rouss closed 6 years ago
Mini proposition qui consiste en fait à retirer htmlspecialchar
qui ne sert pas à grand chose dans ce contexte je crois...
Au dev de l'addon de l'utiliser sur les paramètres sensibles, mais pas à appliquer globalement. non ?
https://github.com/BlogoText/blogotext/pull/368
le htmlspecialchar sert à justement éviter l'injection de code. Donc d'un point de vue sécu, c'est pas terrible, et en même temps on peux déjà le faire dans l'écriture d'article...
Au dev de l'addon de l'utiliser sur les paramètres sensibles, mais pas à appliquer globalement. non ?
Je préférerai faire le contraire, appliquer globalement sauf à quelques exceptions...
Ça me va, mais pour ça il faudrait que les paramètres, lorsqu'ils sont enregistrés, soient traités selon leur type. Or, pour l'instant, ce type (int, text ou bool) n'est pas distingué. Ou alors, je n'en ai pas vu mention dans la partie qui récupère les paramètres à enregistrer.
à vue de nez dans https://github.com/BlogoText/blogotext/blob/master/admin/inc/addons.php ligne 314 à 344
ok, j'ai vu, merci. :) Ça donnerait un truc comme ça, avec le nouveau type "code" que définit le développeur de l'addon s'il tient à autoriser l'insertion de code html. voilà donc le nouvel essai : https://github.com/BlogoText/blogotext/pull/369
Tu as mergé, merci :) Je ferme du coup
Dans les paramètres disponibles, on a "text", "int" et "select". Avoir un "code" qui serait disponible dans une "textarea" plus grand serait pratique dans certains cas (insertion de code html, écriture d'une page statique...)