Rodolphe, j'ai vu que tu as corrigé un oubli de ma part sur
l'utilisation du wrapper document.
J'ai aussi vu que tu as utilisé les wrapper pour les graph du module
telephonie.
Mais il y avait quelques problèmes (faille de sécurité dans la manière
d'utiliser):
En effet, tu passes en paramètre l'ensemble du fichier et dans le
wrapper tu avais mis en commentaire la ligne
qui complétait la ligne passée en paramètre avec le chemin du fichier.
En faisant ainsi, tu permet le téléchargement de n'importe quel fichier
vu qu'on peut y passer un chemin absolu (y compris le fichier
/etc/passwd). De plus, un des wrapper utilisé (pour les graph) était
showgraph.php. Hors il existe déjà un wrapper pour les images qui est
viewimage.php et qui fait la meme chose. J'ai donc corrigé par les
actions suivantes:
1) J'ai décommenté la ligne que tu as commenté dans document.php
2) J'ai modifié l'appelant du document.php de la fiche des prélèvements
afin de passer un chemin relatif (vu que j'ai décommenté la ligne qui
complète le path, le chemin absolu n'est plus possible, il faut donc
passer en relatif).
3) J'ai modifié les pages qui utilisaient le wrapper showgraph pour
utiliser le wrapper viewimage (afin de n'en avoir qu'un).
4) J'ai viré le fichier showgraph.php qui ne sert plus du coup (en fait
il y en avait meme 2 de ces fichiers qui faisait donc triple emploi).
Malheureusement, comme je n'ai pas de données en ce qui concerne la
téléphonie, j'ai pas trop la possibilité de tester aussi dis moi si j'ai
cassé qqchose...