Salut Bruno,
Pour ta remarque (déplacement vers le bas), ça pose problème avec les
listes (essentiellement la pagination).
Quant à la recherche dans le core, la chaîne est splitée et échappée au
sens de SQL, mais pas au sens HTML.
Pour ces deux raisons, je préconise de laisser ma modif en l'état.
Telle qu'elle a été commitée, une recherche de "<img src=" fonctionne
comme
il faut sur un panel de 1500 billets : 1 billet est retourné et c'est
conforme (les deux chaînes <img et src= sont bien présentes dans le billet).
Si je déplace ma modif, je récupère les 1500 billets et la pagination est
polluée.
Franck
Le 12 juillet 2014 17:06, Bruno <dsls(a)morefnu.org> a écrit :
2014-07-10 11:38 GMT+02:00 Franck Paul
<carnet.franck.paul(a)gmail.com>:
> Cela dit, c'est pas si bourrin que ça ma modif et ça n'empêche pas la
> recherche, y compris de termes comme "<img src=".
>
> Je viens de faire l'essai sur le code corrigé et ça fonctionne plutôt
bien.
>
>
Hello,
Les termes recherchés sont correctement échappés dans le core, c'est juste
la page search.php de l'admin qui doit échapper correctement pour
l'affichage.
J'aurais tendance à placer le $q = html::escapeHTML($q); avant de fermer
le if($q), et pas en début. Cela évitera le double échappement dans le
core, et restera blindé pour la suite.
(Désolé, j'aurais bien patché/testé, mais depuis une tente au fond des
Cévennes, accessoirement sous la pluie, c'est pas très simple ;)
--
Bruno
--
Dev mailing list - Dev(a)list.dotclear.org -
http://ml.dotclear.org/listinfo/dev
--
Franck