
<div dir="ltr">I neglected to thank you for the help (summer 2012!).<br>I haven't done further work on the project, but have been using it, and hope to extend it further this year.<br><br>cheers!<br></div><div class="gmail_extra">


<br clear="all"><div>-Michael Paulukonis<br><a href="http://www.xradiograph.com" target="_blank">http://www.xradiograph.com</a><br><a href="http://goog_2112721603" target="_blank"></a><a href="http://www.xradiograph.com%5Cinterference" target="_blank">Interference Patterns (a blog)</a><br>


<a href="https://twitter.com/XraysMonaLisa" target="_blank">@XraysMonaLisa</a><br><a href="http://michaelpaulukonis.com" target="_blank">http://michaelpaulukonis.com</a><br><a href="http://www.BestAndroidResources.com" target="_blank"></a><br>


<br>Sent from somewhere in the Cloud<br>(hearthrug, by the fender)<br></div>

<br><br><div class="gmail_quote">On Tue, Jun 12, 2012 at 7:33 AM, Petko Yotov <span dir="ltr"><<a href="mailto:5ko@5ko.fr" target="_blank">5ko@5ko.fr</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


<div class="im">michael paulukonis writes:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Basically, the plugin checks for text enclosed by a set of tags, passes that<br>

to the markup service, which them provides HTML back to WordPress.<br>

</blockquote>

<br></div>

It looks you're getting the output HTML via a network connexion (browser or<br>

server)?<div class="im"><br>

<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Is there any major security hole that I'm opening up in PmWiki by doing<br>

this?<br>

</blockquote></div>

...<div class="im"><br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Is there any way to obtain arbitrary JavaScript that extension attempt to<br>

add to the page?<br>

</blockquote>

<br></div>

No, not any more than leaving the standard PmWiki open to viewing. How secure<br>

is that, depends on how secure are the recipes you enabled.<div class="im"><br>

<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

(other than inline JS applied to markup) ?<br>

</blockquote>

<br></div>

If you have inline JS, some of these PmWiki recipes also inject JavaScript<br>

into the header or footer of the rendered full page. Without it, some<br>

functionnalities may not work in the HTML returned by MarkupToHTML(). But this<br>

is not a security issue.<br>

<br>

About security, in your case, I'd probably limit the PmWiki installation to<br>

only do the 'wikimarkup' action. Something like this in config.php:<br>

<br>

 $action = 'wikimarkup'; # OR<br>

 if($action != 'wikimarkup') $action = 'wikimarkup';<br>

<br>

Alternatively, it may be possible to include pmwiki.php and use only the<br>

markup engine. In your WordPress php configuration file, you can add something<br>

like this:<br>

<br>

 $EnableActions = 0;<br>

 include_once("pmwiki/pmwiki.<u></u>php");<br>

<br>

This will load PmWiki but will disable all automatc processing, allowing you<br>

to call selected functions yourself, for example MarkupToHTML().<br>

<br>

Note tht PmWiki will look for configuration files at two places:<br>

<br>

 local/config.php - the directory 'local' is related index.php of WordPress<br>

 local/farmconfig.php - 'local' here is related to where pmwiki.php is<br>

<br>

And if you include recipes, you'll need to use the $FarmD variable:<br>

<br>

 include_once("$FarmD/cookbook/<u></u>my-recipe.php");<br>

<br>

See the following discussion on the mailing list:<br>

<br>

 <a href="http://thread.gmane.org/gmane.comp.web.wiki.pmwiki.user/37668/focus=37694" target="_blank">http://thread.gmane.org/gmane.<u></u>comp.web.wiki.pmwiki.user/<u></u>37668/focus=37694</a><br>

<br>

Petko<br>

<br>

______________________________<u></u>_________________<br>

pmwiki-devel mailing list<br>

<a href="mailto:pmwiki-devel@pmichaud.com" target="_blank">pmwiki-devel@pmichaud.com</a><br>

<a href="http://www.pmichaud.com/mailman/listinfo/pmwiki-devel" target="_blank">http://www.pmichaud.com/<u></u>mailman/listinfo/pmwiki-devel</a><br>

</blockquote></div><br></div>