affectation de variables directement depuis la query-string sans filtrage dans les statistiques
Bien que http://zone.spip.org/trac/spip-zone/changeset/55295 corrige à minima les problèmes liés aux query-string ayant des paramètres correspondant à des variables déja définies dans la fonction stats_show_keywords(), il n'en reste pas moins que cette fonction utilise toujours l'attribution de variables directement depuis la query-string, sans protection pour la recherche des keywords... La recherche des keywords demanderait donc à être modifiée pour éviter de devoir utiliser ce mécanisme potentiellement dangereux.