[(#ENV{variable,valor_a_mostrar_por_defecto})] (a partir de SPIP 1.8, SPIP 1.8.1) permite acceder a la variable enviada a través de la petición HTTP. valor_a_mostrar_por_defecto es una parte opcional que permite devolver un valor aunque variable no exista.
-
#ENV{el_post}devuelve los datos del formulario “limpios”, es decir, tratados por la funciónpropre()y por tanto inofensivos. -
#ENV*{el_post}devuelve los datos del formulario “tal cual”, pero tratados antes por la funcióninterdire_scripts(), y por tanto también inofensivos. -
#ENV**{el_post}devuelve también los datos del formulario “tal cual”, pero sin tratarlos por la funcióninterdire_scripts()y por tanto con riesgo de inyección (¡Sin que los<, y otros<script language=php>... se hayan limpiado!).
Imaginemos un formulario sencillo:
<form method="get">
<input type="text" name="test" value="#ENV{test}"> <input type="submit">
</form>
#ENV{test}<br />
#ENV*{test}<br />
#ENV**{test}<br />Dentro del formulario mostrado, introducimos: <?php echo date('Y-m-d'); ?> en el campo «test», y después validamos.
- #ENV{test} devolverá (código HTML) : <?php echo date('Y-m-d'); ?>
- #ENV*{test} devolverá (código HTML) : <?php echo date('Y-m-d'); ?>
- #ENV**{test} devolverá (código HTML) : 2009-02-12 es decir, el código PHP ejecutado.