correction d'un bug sur #CACHE, qui n'était pas utilisé pour déterminer si le cache restait ou non valide ; on introduit un entete propriétaire (à nommer comme on veut) pour stocker cette valeur ailleurs que dans cache-control, car on peut très bien vouloir mettre en cache pendant longtemps #CACHE{10000} une page dynamique #HTTP_HEADER{Cache-Control: no-cache etc}

- #HTTP_HEADER{Chose: valeur} qui insère un entete dans le tableau $page[entetes] (ceci toujours via le hack d'insertion de la sequence <?php header(...) ?> dans le code, qui est ensuite nettoyée)
- #CACHE{delai} qui fixe la durée du fichier cache.

A noter qu'on peut mixer les deux de façon parfois étonnante comme sur le login, où le fichier est mis en cache côté spip, mais pas côté navigateur

corrige le bug qui s'était glissé sous #LOGO_xxxxx et qui faisait que le premier filtre donné après || était jeté à la poubelle
L'origine du bug : un décalage entre $p->fonctions et $p->param pour le filtre "vide" (celui qui est entre les deux pipes de ||)

dans le squelette la duree de vie des pages qu'il produit. 

A la base, c'est la requete HTTP, "Cache-control: max-age = NNNN".

Elle est produite par une extension de la balise HTTP au cas #HTTP{NNNN}.

Les squelettes standards l'utilisent systematiquement.

Faciliter l'envoi d'en-tetes http dans les squelettes, afin de remplacer les variables PHP $flag_preserver et $flag_dynamique par des entitees independantes du langage d'execution. Pour cela: 

- introduction d'une balise #HTTP{e1, ... en} utilisable en debut de squelette, et dont les arguments sont des chaines, entourees de guillemets ou d'apostrophes, conforme au protocole HTTP1/1 :
http://www.w3.org/Protocols/rfc2616/rfc2616-sec14.html#sec14.9.4

- cette balise est compilee en une sequence
<?php header(e1); .... ;header(en) ?>

- Spip repere une telle sequence initiale (c'est donc valable aussi pour un code php ecrit directement sous-reserve que la syntaxe soit exactement la meme) et en fait une meta-donnee pour chaque page produite par l'execution du squelette, afin de disposer facilement des en-tetes au moment de l'envoi;

- Spip repere dans ces meta-donnees la presence de la directive Content-Type. Si elle est absente, elle est automatiquement rajoutee avec comme habituellement la valeur:
	Content-Type: text/html; charset=#CHARSET
Spip n'enverra les boutons d'administration et de previsualisation et n'inserera leur CSS associee que si cette directive a pour valeur text/html ou que le mode debug est actif. 
Cette assertion simple reflete l'usage de la variable $flag_preserver qui n'a ainsi plus de raison d'etre.

- Spip repere aussi dans ces meta-donnees la presence d'une directive "Cache-control", auquel cas il n'enverra aucune autre directive concernant le cache du client. Ainsi, le positionnement a "vrai" de la variable $flag_dynamique, jamais documentee, est equivalent a
	#HTTP{'Pragma: no-cache', 'Cache-Control: no-cache; must-revalidate'}

Dans les formulaires : pourquoi faire compliqué quand on peut faire simple : entites_html est le filtre par défaut de [(#ENV{truc})] !

Au passage, retrait de la palanquee d'espaces envoyee dans certains cas par spip_cron, le but recherche n'etant pas toujours atteint

(c) 2001-2006

Introduction d'un modele de securite a deux niveaux :
- [(#TEXTE)] : on applique propre() et interdire_script()
- [(#TEXTE*)] : on n'applique plus propre(), mais toujours interdire_script()
- [(#TEXTE**)] : on n'applique plus rien ; question seccurite tout devient possible, au webmestre de filtrer comme il se doit pour eviter toute injection de php, javascript etc.

Par ailleurs les appels a safehtml() se rationalisent un peu (mais pas encore definitif, je pense).

- un code plus simple et j'espere plus lisible
- gestion des doublons simplifiee
- plus de XHTML dans les fichiers flash (Cedric Morin)
- plus de XHTML dans les documents en general (notamment les raccourcis [<docXX>->lien] sont clean)

clarification sur l'emploi du filtre interdire_scripts (changement de nomenclature dans le code, a fonctionnalite equivalente)
attention ca casse un peu l'API pour ceux qui ont des balises persos.

include_ecrire etc acceptent des noms sans extension et completent avec .php ou .php3; migration generale dans les scripts de l'espace public pour preparer l'abandon des .php3

Remplacement systematique de la fonction lire_meta(x) par son contenu $GLOBALS['meta'][x]
plus efficace et permettant de distinguer plus facilement les globales internes aux scripts 
et celles en provenance de l'entree HTTP.
En parallele, deplacement des fonctions action_auteur dans inc_session pour eviter de charger 
les fonctions d'admin quand ce n'est pas necessaire.

laisser une fonction de definition de balise "passer la main" si elle le souhaite (Pif) + exemple avec la balise #POINTS dans le cas d'une boucle {recherche}

j'utilise le hack [(#TOTAL_BOUCLE|sinon)] pour le vider
mais du coup il ne faudra pas modifier le filtre sinon :(

3 OR ''  vaut true, alors que 3 | '' vaut 3

un bug dans le formulaire forum.html : #FORMULAIRE_FORUM n'étant pas dans une boucle, il prenait la langue par défaut du site -- maintenant on force &lang=xx dans l'URL (en cas de besoin)

corerection du bug de #SELF dans les inclure et balises dynamiques (ou plutôt, contournement du bug)

suppression du titre typographique dans le squelette par défaut