He also warned us on the possibility to send PHP scripts into the media folder and to get them executed from there. Dotclear cannot entirely protect against this kind of defect and you should ensure to not leave such files in your medias, or if it's necessary, to make sure that they are not executable. In order to do so, a few methods exist and rely essentially on the web host and the sofware used for the server.
For Apache in example, a .htaccess file located in the public folder and including the following directive allows to avoid the issue: php_flag engine off ---- Je m'en vais de ce pas installer la 2.6.3, merci ! 2014-05-16 9:07 GMT-04:00 Franck Paul <[email protected]>: > Tiens, au passage, si un anglophone pouvait me faire une p'tite traduction > de ça (présent dans le billet d'annonce FR et absent du billet EN) : > > ---- > > Il nous a également alerté sur la possibilité d'envoyer et de faire > exécuter dans le dossier des médias un script PHP. Dotclear ne peut pas > garantir complètement ce genre de défaut et il faut veiller à ne pas > laisser de tel fichiers dans vos médias, ou, si c'est important, d'éviter > qu'ils soient exécutables. Pour ce faire plusieurs techniques existent et > dépendent essentiellement de l'hébergeur et du logiciel serveur. > > Pour Apache, par exemple, un fichier .htaccess placé dans le dossier public > et contenant la directive suivante permet de l'éviter : > > php_flag engine off > > ---- > > Merci beaucoup d'avance ! > > > > Le 16 mai 2014 14:57, Franck Paul <[email protected]> a écrit : > > > Et d'ailleurs j'en profite pour vous signaler que la 2.6.3 est sortie. > > > > > > Le 16 mai 2014 14:56, Franck Paul <[email protected]> a > écrit : > > > > Nope, justement, normalement ça ne doit rien changer du tout, on a juste > >> fermé un p'tit trou et un gros, enfin c'est Bruno qui a, moi j'ai juste > >> publié la nouvelle version > >> > >> > >> Le 16 mai 2014 14:45, Philippe <[email protected]> a écrit : > >> > >> Ouaipe, la 2.6.3-r2709 propulse mes 5 domaines depuis ce matin > >>> > >>> Je n'ai pas vu de différence avec la précédente, il faudrait ? > >>> -- > >>> Philippe > >>> > >>> > >>> Le 16 mai 2014 13:22, Franck Paul <[email protected]> a > >>> écrit : > >>> > À ce sujet, quelqu'un a-t-il testé la nightly 2.6.3 de cette nuit ? > >>> -- > >>> Dev mailing list - [email protected] - > >>> http://ml.dotclear.org/listinfo/dev > >>> > >> > >> > >> > >> -- > >> Franck > >> > > > > > > > > -- > > Franck > > > > > > -- > Franck > -- > Dev mailing list - [email protected] - > http://ml.dotclear.org/listinfo/dev > -- Christopher Crouzet *http://christophercrouzet.com* <http://christophercrouzet.com> -- Dev mailing list - [email protected] - http://ml.dotclear.org/listinfo/dev
