Index: ecrire/exec/install.php
===================================================================
--- ecrire/exec/install.php	(revision 14346)
+++ ecrire/exec/install.php	(revision 14350)
@@ -14,6 +14,7 @@
 
 include_spip('inc/minipres');
 include_spip('inc/install');
+include_spip('inc/autoriser');
 
 define("_ECRIRE_INSTALL", "1");
 define('_FILE_TMP', '_install');
@@ -22,7 +23,7 @@
 function exec_install_dist()
 {
 	$etape = _request('etape');
-	if (_FILE_CONNECT AND (!in_array($etape, array('chmod', 'sup1', 'sup2')))) {
+	if (_FILE_CONNECT  AND (!in_array($etape, array('chmod', 'sup1', 'sup2')) OR !autoriser('configurer'))) {
   // L'etape chmod peut etre reexecutee n'importe quand apres l'install,
   // pour verification des chmod. Sinon, install deja faite => refus.
 		echo minipres();
Index: ecrire/index.php
===================================================================
--- ecrire/index.php	(revision 14346)
+++ ecrire/index.php	(revision 14350)
@@ -27,12 +27,15 @@
 $exec = _request('exec');
 $reinstall = _request('reinstall')?_request('reinstall'):($exec=='install'?'oui':NULL);
 //
-// Authentification, redefinissable
+// Les scripts d'insallation n'authentifient pas, forcement,
+// alors il faut blinder les variables d'URL
 //
 if (autoriser_sans_cookie($exec)) {
 	if (!isset($reinstall)) $reinstall = 'non';
+	set_request('transformer_xml');
 	$var_auth = true;
 } else {
+	// Authentification, redefinissable
 	$auth = charger_fonction('auth', 'inc');
 	$var_auth = $auth();
 	if ($var_auth) { 
@@ -139,6 +142,7 @@
 
 
 // Passer la main aux outils XML a la demande (meme les redac s'ils veulent).
+// mais seulement si on a bien ete auhentifie
 if ($var_f = _request('transformer_xml')) {
 	set_request('var_url', $exec);
 	$exec = $var_f;
Index: ecrire/exec/export_all.php
===================================================================
--- ecrire/exec/export_all.php	(revision 14353)
+++ ecrire/exec/export_all.php	(revision 14354)
@@ -79,7 +79,7 @@
 	$nom = $gz 
 	?  _request('znom_sauvegarde') 
 	:  _request('nom_sauvegarde');
-	if ($nom === '') $nom = 'dump';
+	if (!preg_match(',^[\w_][\w_.]*$,', $nom)) $nom = 'dump';
 	$archive = $nom . '.xml' . $gz;
 	list($tables,) = export_all_list_tables();
 	$clic =  _T('bouton_valider');