Oracle ayant une utilisation plus restrictive des alias que MySQL, mise au carré des alias de tables: mettre toujours AS en majuscules, et prendre pour alias de la table une unique lettre majuscule. Cette contrainte sera peut-être enlevée à terme, mais ça permet de dégrossir plsu rapidement les problèmes du portage.

A noter que le script {{{documents_liste}}} ne semble plus référencé nulle part, et que [14575] n'a fait que repousser le pb de l'écriture de message.

permettre que le titre d'un document ait une extension differente de celle du fichier d'origine pour que le telechargement se fasse sous un nom&type different de celui sous lequel le fichier est heberge sur le serveur (ex envoyer en .php un fichier stocke en .txt pour raison de securite).

Ce n'est pas parce que certains systèmes d'exploitation que je ne nommerai pas pataugent avec certains noms de fichiers qu'il faut considérer [11243] comme une {{fausse bonne idée}} comme le dit [13760]. Je filtre le cas du titre de document n'ayant pas d'extension qui ne doit en effet pas être utilisé comme nom de fichier du {{{Content-Disposition}}} (et encore, {{{Makefile}}} est notoirement recevable), mais autrement je restaure le comportement d'avant qui est une fausse {{fausse bonne idée}}}, autrement dit une vraie bonné idée.

Par contrecoup, report du renforcement de sécurité su secret du site [13866] dans la branche 2.0.

ne pas risquer la divulgation de secret_du_site utilise pour les formulaires cvt et l'acces aux documents

Dépot obtenu par:

{{{
for i in $(grep  -l '(c) 2001-' * */* */*/* 2> /dev/null)
do
sed 's/(c) 2001-2008/(c) 2001-2009/' $i > /tmp/x
mv /tmp/x $i
done
}}}

- On commenter une modification de get_spip_doc pas valable partout encore

get_spip_doc ne joue plus son rôle (en version de dev) qui consistait principalement à récupérer le bon nom de fichier, puisque dorénavant get_spip_doc ajoute une date au nom de fichier ... du coup ca cassait cette action car le fichier n'était pas trouvé...

Je remplace get_spip_doc par _NOM_PERMANENT_ACCESSIBLE qui doit correspondre à IMG/ par défaut...

Peut être est ce fait un peu vite? 

L'action acceder_document lancée à partir de ecrire/ ne doit pas tester l'absence de ../ sur le résultat de get_spip_doc car il va effectivement y en avoir un; c'est l'argument initial qu'il faut sécuriser.

"Content-Type: application/octet-stream" nécessaire pour IE sinon il corrompt les fichiers (zip notamment)

Dans le script d'envoi d'un document protégé par un ;htaccess, prendre comme valeur du {{{Content-Disposition: attachment}}} le titre du document s'il en a un plutôt que le nom du fichier: celui-ci a souvent un disgracieux {{{-1}}}, {{{-2}}} etc pour cause d'homonymie, ou se termine par {{{.txt}}} pour raison de sécurité alors qu'il peut s'agir d'un {{{.php}}} etc. Marche avec Firefox, mais pas avec Safari qui se croit toujours plus malin que les autres.

Pour securiser l'acces aux documents, on passe desormais une cle dans l'URL; soit on a obtenu cette cle, et on peut voir le doc, soit non et on ne peut pas le voir : on ne regarde donc plus le statut du document a chaque hit, ca devrait alleger le serveur (sich)

Le standard SQL précise qu'une chaîne avec apostrophe se code avec une double apostrophe et non un \ ce que SQLite fait aussi, contrairement à MySQL et PG. 
En prévision des portages utilisant cette réprésentation, l'interface s'enrichit de la fonction {{{sql_quote}}}, qui s'ajoute à celles définies dans [10707] [10667], [10433], [10131], [10146], [10154] et [10113]

{{{
quote => fonction d'abstraction de la citation d'une constante SQL
}}}

Pour MySQL et PG, cette fonction est donc équivalente à {{{_q()}}} qui reste disponible, mais doit être considérée comme obsolète. Le présent dépôt a été obtenu par le script ci-dessous, dont on peut faire usage pour ses extensions personnelles:

{{{
for i in $(grep  -l '_q(' [bigpeau]*/*p)
do
	sed 's/_q(/sql_quote(/g' $i > x
	mv  x $i
done
}}}

Un ajustement manuel a été nécessaire pour le critère "=", le compilateur testant si le code qu'il a produit contient la fonction de citation.

Abstraction de tous les appels {{{ spip_query("SELECT ..... WHERE ... }}} pour que les champs de type Date dans la clause WHERE soient transformé pour Postgres.

Dépot obtenu par: 

{{{
for i in $(grep -l 'spip_query..SELECT.*FROM.*WHERE[^A-Z]*;$' [a-i]*/*php)
do
# Pour la clause DISTINCT, laisser intact pour le moment.
sed 's/spip_query..SELECT *\([^D]*[^ ]\) *FROM *\(.*[^ ]\) *WHERE *\([^A-Z]*;\)$/sql_select("\1", "\2", "\3/;s/ "" *\.//;s/ch(sql_select\(.*\));/sel\1;/' $i > x
echo $i
mv x $i
done
#}}}

et deux suppressions manuelles de lourdeurs syntaxiques résultantes.
Pas d'intervention sur le fichier inc/meta: au test, include manquant. À controler.

Renommage de toutes les fonctions '''spip_abstract_''' en '''sql_''', c'est plus court et plus parlant puisqu'il s'agit des fonctions d'interfaces avec un serveur SQL. De nouveau attention il faut vider le cache (en fait seulement celui des squelettes: tmp/cache/skel) car ce sont des fonctions que le compilateur place dans le code compilé.

En conséquence, l'annonce de [9852] est modifiée: '''spip_fetch_array''' est remplacée par '''sql_fetch'''. Rien de modifié en revanche en ce qui concerne le fait que spip_fetch_array avec un deuxième argument égal à SPIP_NUM n'a pas d'équivalent et doit être réécrit si on éviter le recours à vieilles_def.php.

Dépot obtenu par le script suivant:
{{{
grep  -v '// http://doc.spip.org/@spip_abstract_' base/abstract_sql.php > b
mv b base/abstract_sql.php 

for i in $(grep -l "spip_abstract_" */*p|grep -v vieilles_def)
do
sed "s/spip_abstract_/sql_/g" $i > x; mv  x $i
done
}}}

et intervention manuelle sur vieilles_def.php.

#209: Afin que les plugins utilisant '''SPIP_NUM''' ou '''SPIP_ASSOC''' dans les appels de '''spip_fetch_array''' continuent à fonctionner sans perturber le portage en PostGres, cette fonction passe en vieille_def avec une définition appellant explicitement '''mysql_fetch_array'''. Elle est remplacée dans tout le code de SPIP par '''spip_abstract_fetch''' auparavant utilisée seulement par le compilateur de squelettes. Les plugins voulant tourner en PostGres à terme sont invités à renommer cette fonction, et à ramener à un seul argument tous ses appels.

Ce dépot résulte donc du retrait des deux définitions de '''spip_fetch_array''' présentes dans source:spip/ecrire/base/db_mysql.php et source:spip/ecrire/base/db_pg.php (qui peuvent donc être chargés simultanément à présent si nécessaire) et de l'application du script suivant dans le répertoire '''ecrire''':

{{{
for i in $(grep -l spip_fetch_array */*p|grep -v vieilles_def)
do 
sed s/spip_fetch_array/spip_abstract_fetch/g $i > x
mv  x $i
done    
}}}

Migration de autoriser_voir_document dans inc/autoriser, avec adaptations nécessaires, et disparition d'occurrence de 1comite et 0minirezo en utilisant la liste des statuts.

- dans autoriser_voir, traitement du type Auteur;
- centralisation des requetes SQL portant sur les auteurs pouvant se connecter.

suppression des id_type de documents, remplaces par extension ; la seule chose que je ne sais pas verifier, c'est la question des sauvegardes/restaurations, surtout avec du code que je ne comprends pas et qui est marque 'a voir' ; a voir, donc :)

Suite de [9178]: le connexion:close est finalement une mauvaise idée puisqu'il y a quand meme la feuille de style à demander. En revanche le 403 est bien utile, aussi on unifie les appels à minipres pour raison d'accès interdit. Et on rajoute un bouton de retour à l'espace d'accueil.

on sort la configuration des options creer_ht_access et creer_htpasswd du core pour la passer dans le seul plugin acces_restreint

la config des documents proteges passe dans le plugin acces_restreint + importante reecriture de acceder_document de maniere a gerer correctement les codes 404 (doc inexistant), 403 (doc interdit) et 304 (ETag deja charge)

suite de [8926], introduit en particulier #FICHIER* qui donne le chemin du document a partir de _DIR_IMG

preserve l'environnement (2Ko d'economie sur le source quand meme .. :p )