PMB

Il est nécessaire d'échapper les caractères HTML lors de la construction de la page pour éviter leur interprétation par le navigateur. Les balises <link> <style> <images> ne doivent en aucun cas être incluses telles quelles à cet endroit là. La météo par exemple est activée par le paramètre show_meteo, mais sans échappement, l'image est appelée lorsque l'on consulte les paramètres quelque soit ce réglage.

admin/param/param_func.inc.php, ligne 124

print "<td class='ligne_data'>$param->valeur_param</td><td valign='top'>$param->comment_param</td>\n</tr>";

devrait être:

print "<td class='ligne_data'>".htmlspecialchars($param->valeur_param)."</td><td valign='top'>".htmlspecialchars($param->comment_param)."</td>\n</tr>";