Closed B4rb3rouss closed 6 years ago
B4rb3rouss
commented
6 years ago Mini proposition qui consiste en fait à retirer htmlspecialchar qui ne sert pas à grand chose dans ce contexte je crois...
Au dev de l'addon de l'utiliser sur les paramètres sensibles, mais pas à appliquer globalement. non ?
https://github.com/BlogoText/blogotext/pull/368
remrem
commented
6 years ago le htmlspecialchar sert à justement éviter l'injection de code. Donc d'un point de vue sécu, c'est pas terrible, et en même temps on peux déjà le faire dans l'écriture d'article...
Au dev de l'addon de l'utiliser sur les paramètres sensibles, mais pas à appliquer globalement. non ?
Je préférerai faire le contraire, appliquer globalement sauf à quelques exceptions...
B4rb3rouss
commented
6 years ago Ça me va, mais pour ça il faudrait que les paramètres, lorsqu'ils sont enregistrés, soient traités selon leur type. Or, pour l'instant, ce type (int, text ou bool) n'est pas distingué. Ou alors, je n'en ai pas vu mention dans la partie qui récupère les paramètres à enregistrer.
remrem
commented
6 years ago à vue de nez dans https://github.com/BlogoText/blogotext/blob/master/admin/inc/addons.php ligne 314 à 344
B4rb3rouss
commented
6 years ago ok, j'ai vu, merci. :) Ça donnerait un truc comme ça, avec le nouveau type "code" que définit le développeur de l'addon s'il tient à autoriser l'insertion de code html. voilà donc le nouvel essai : https://github.com/BlogoText/blogotext/pull/369
B4rb3rouss
commented
6 years ago Tu as mergé, merci :) Je ferme du coup
Dans les paramètres disponibles, on a "text", "int" et "select". Avoir un "code" qui serait disponible dans une "textarea" plus grand serait pratique dans certains cas (insertion de code html, écriture d'une page statique...)