Faille de sécurité potentielle
Il y a une grosse faille de sécurité potentielle, pas directement liée au code de Spip mais à son utilisation.
Il se trouve que les codes php "" contenus non seulement dans les squelettes +mais aussi dans les balises et les filtres+ sont exécutés lors du calcul de la page. Or cela ouvre la porte à des attaques si le webmaster n'en est pas conscient...
Par exemple dans ce bout de code j'affiche un input dont l'attribut "value" est correspond à la valeur envoyée par l'internaute en $_GET:
Je fais cette opération via un filtre recherche_get{recherche} qui récupère la valeur à affichée, comme cela ne concerne que de l'affichage je n'ai pas pris la peine de bien la nettoyer. ... Et du coup l'internaute malveillant aurait pu exécuter n'importe quel code php en l'injectant dans la requête !
Bon j'avoue dans l'absolu c'est pas très malin de ne pas nettoyer une variable... Mais ne serait-il pas prudent d'interdire de base l'exécution de code php dans les squelettes (ou au moins dans les balises + filtres) quitte à laisser la possibilité à ceux qui le veulent de lever cette interdiction via la config ?