security: limiter l’usage de `#ENV**` dans les formulaires

& refactor: homogeneiser l'utilisation de #ENV dans les formulaires Ref: spip-team/securite#4841

security: limiter l’usage de `#ENV**` dans les formulaires
4d401e20 · b_b · marcimat · 5de098a0 · 4d401e20 · 4d401e20
--- a/formulaires/configurer_documents.html
+++ b/formulaires/configurer_documents.html
@@ -10,13 +10,13 @@
 		parametre : url d'action ]
 		#ACTION_FORMULAIRE
 		<div class="editer-groupe">
-			#SET{name,documents_objets}#SET{erreurs,#ENV**{erreurs}|table_valeur{#GET{name}}}
+			#SET{name,documents_objets}#SET{erreurs,#ENV*{erreurs/#GET{name}}}
 			<div class="editer long_label editer_[(#GET{name})][ (#GET{obli})][ (#GET{erreurs}|oui)erreur]">
 				<label><:medias:label_activer_document_objets:></label>[
 				<span class='erreur_message'>(#GET{erreurs})</span>
-				]#INCLURE{fond=formulaires/inc-choisir-objets,name=#GET{name},selected=#ENV**{#GET{name}},exclus=spip_documents}
+				]#INCLURE{fond=formulaires/inc-choisir-objets,name=#GET{name},selected=#ENV{#GET{name}},exclus=spip_documents}
 			</div>
-			#SET{name,documents_date}#SET{erreurs,#ENV**{erreurs}|table_valeur{#GET{name}}}
+			#SET{name,documents_date}#SET{erreurs,#ENV*{erreurs/#GET{name}}}
 			<div class="editer pleine_largeur editer_[(#GET{name})][ (#GET{obli})][ (#GET{erreurs}|oui)erreur]">
 				[
 				<span class='erreur_message'>(#GET{erreurs})</span>
@@ -35,4 +35,4 @@
 	  <p class='boutons'><span class='image_loading'>&nbsp;</span><input type='submit' class='btn submit' value='<:bouton_enregistrer:>' /></p>
 	</div></form>
 	]
-</div>
\ No newline at end of file
+</div>
--- a/formulaires/editer_document.html
+++ b/formulaires/editer_document.html
@@ -3,7 +3,7 @@
 	[<p class="reponse_formulaire reponse_formulaire_erreur" role="alert">(#ENV*{message_erreur})</p>]
 	[(#ENV{editable})
 	<form method='post' action='#ENV{action}' enctype='multipart/form-data'><div>
-		[(#REM) declarer les hidden qui declencheront le service du formulaire 
+		[(#REM) declarer les hidden qui declencheront le service du formulaire
 		parametre : url d'action ]
 		#ACTION_FORMULAIRE
 		<input type='hidden' name='id_document' value='#ENV{id_document}' />
@@ -12,19 +12,19 @@
 		]
 		<div style="position:absolute;#LANG_LEFT:-10000px;" class="invisible-first-save-button"><input type='submit' class='btn submit' tabindex="-1" value='<:bouton_enregistrer:>' /></div>
 		<div class="editer-groupe">
-			<div class="editer editer_titre[ (#ENV**{erreurs}|table_valeur{titre}|oui)erreur]">
+			<div class="editer editer_titre[ (#ENV*{erreurs/titre}|oui)erreur]">
 				<label for="titre">[(#ENV{mode}|=={document}|?{<:medias:entree_titre_document:>,<:medias:entree_titre_image:>})]</label>[
-				<span class='erreur_message'>(#ENV**{erreurs}|table_valeur{titre})</span>
-				]<input type='text' class='text' name='titre' id='titre' value="[(#ENV**{titre,''})]" />
+				<span class='erreur_message'>(#ENV*{erreurs/titre})</span>
+				]<input type='text' class='text' name='titre' id='titre' value="[(#ENV{titre,''})]" />
 			</div>
-			<div class='editer editer_parent[ (#ENV**{erreurs}|table_valeur{parents}|oui)erreur]'>
+			<div class='editer editer_parent[ (#ENV*{erreurs/parents}|oui)erreur]'>
 				<label for="parents"><:medias:label_parents:></label>[
-				<span class='erreur_message'>(#ENV**{erreurs}|table_valeur{parents})</span>
+				<span class='erreur_message'>(#ENV*{erreurs/parents})</span>
 				]<INCLURE{fond=formulaires/selecteur/articles, selected=#ENV{parents}, name=parents, rubriques=1, articles=1} />
 			</div>
-			[<div class="editer editer_fichier[ (#ENV**{erreurs}|table_valeur{fichier}|oui)erreur]">
+			[<div class="editer editer_fichier[ (#ENV*{erreurs/fichier}|oui)erreur]">
 				<label for="fichier"><:medias:label_fichier:></label>[
-				<span class='erreur_message'>(#ENV**{erreurs}|table_valeur{fichier})</span>
+				<span class='erreur_message'>(#ENV*{erreurs/fichier})</span>
 				]
 				(#ENV{fichier})
 				<p class='actions right'>
@@ -50,7 +50,7 @@
 				[(#ENV{apercu}|non)
 					#SET{hauteur,#HAUTEUR|et{#LARGEUR}|?{#HAUTEUR|div{#LARGEUR}|mult{320}|round{0},200}}
 					[(#MEDIA|=={audio}|oui) #SET{hauteur,0}]
-					[(#ENV**{_inclus}|=={embed}|?{
+					[(#ENV{_inclus}|=={embed}|?{
 						[(#MODELE{emb,id_document=#ENV{id_document,''},largeur=320,hauteur=#GET{hauteur}})]
 						,
 						[(#MODELE{doc,id_document=#ENV{id_document,''},largeur=320,hauteur=#GET{hauteur}}|extraire_balise{a})]
@@ -60,47 +60,47 @@
 			<div class="editer editer_infos">
 				<label><:medias:label_caracteristiques:></label>
 				[<span class='type'>(#ENV{type_document}) - </span>]
-				<span class='taille'>[(#LARGEUR|ou{#HAUTEUR}|oui)[(#VAL{info_largeur_vignette}|_T{#ARRAY{largeur_vignette,#LARGEUR,hauteur_vignette,#HAUTEUR}})] - 
+				<span class='taille'>[(#LARGEUR|ou{#HAUTEUR}|oui)[(#VAL{info_largeur_vignette}|_T{#ARRAY{largeur_vignette,#LARGEUR,hauteur_vignette,#HAUTEUR}})] -
 				][(#TAILLE|taille_en_octets|texte_backend)]</span>
 				[(#ENV{_taille_modif}|oui)<div class='taille_modifiee'><:medias:fichier_modifie:><br />[(#ENV{_largeur_modif}|ou{#ENV{_hauteur_modif}}|oui)[(#VAL{info_largeur_vignette}|_T{#ARRAY{largeur_vignette,#ENV{_largeur_modif},hauteur_vignette,#ENV{_hauteur_modif}}})] -
 				][(#ENV{_taille_modif}|taille_en_octets|texte_backend)]</div>]
 				[(#PIPELINE{afficher_metas_document,#ARRAY{args,#ARRAY{'quoi','editer_document','id_document',#ENV{id_document}},data,''}})]
 			</div>
-			<div class="editer editer_descriptif[ (#ENV**{erreurs}|table_valeur{descriptif}|oui)erreur]">
+			<div class="editer editer_descriptif[ (#ENV*{erreurs/descriptif}|oui)erreur]">
 				<label for="descriptif"><:info_description:></label>[
-				<span class='erreur_message'>(#ENV**{erreurs}|table_valeur{descriptif})</span>
-				]<textarea name='descriptif' id='descriptif'[ lang='(#LANGUE)'] rows='2' cols='40'>[(#ENV**{descriptif})]</textarea>
+				<span class='erreur_message'>(#ENV*{erreurs/descriptif})</span>
+				]<textarea name='descriptif' id='descriptif'[ lang='(#LANGUE)'] rows='2' cols='40'>[(#ENV{descriptif})]</textarea>
 			</div>
 			[(#ENV{_editer_date})
-			<div class="editer editer_date[ (#ENV**{erreurs}|table_valeur{saisie_date}|oui)erreur][ (#ENV**{erreurs}|table_valeur{saisie_heure}|oui)erreur]">
+			<div class="editer editer_date[ (#ENV*{erreurs/saisie_date}|oui)erreur][ (#ENV*{erreurs/saisie_heure}|oui)erreur]">
 				<label for="saisie_date" class='date'><:date:></label>[
-				<span class='erreur_message'>(#ENV**{erreurs}|table_valeur{saisie_date})</span>
+				<span class='erreur_message'>(#ENV*{erreurs/saisie_date})</span>
 				]<input type='text' class='text date' name='saisie_date' id='saisie_date' size="10" maxlength="10" value="[(#ENV{saisie_date})]" aria-describedby="format_date_doc_#ENV{id_document,nouveau}"/>
 				<span class='choix heure'>
 					<label for='saisie_heure' class='heure'><:medias:info_heure:></label>[
-					<span class='erreur_message'>(#ENV**{erreurs}|table_valeur{saisie_heure})</span>]
+					<span class='erreur_message'>(#ENV*{erreurs/saisie_heure})</span>]
 					<input type='text' class='text heure' name='saisie_heure' id='saisie_heure' size="5" maxlength="5" value="[(#ENV{saisie_heure})]"  aria-describedby="format_heure_doc_#ENV{id_document,nouveau}"/>
 				</span>
 				<p hidden id="format_date_doc_#ENV{id_document,nouveau}"><:format_date_attendu:></p>
 				<p hidden id="format_heure_doc_#ENV{id_document,nouveau}"><:format_heure_attendu:></p>
 			</div>]
-			<div class="editer editer_credits[ (#ENV**{erreurs}|table_valeur{credits}|oui)erreur]">
+			<div class="editer editer_credits[ (#ENV*{erreurs/credits}|oui)erreur]">
 				<label for="credits"><:medias:label_credits:></label>[
-				<span class='erreur_message'>(#ENV**{erreurs}|table_valeur{credits})</span>
-				]<input type='text' class='text' name='credits' id='credits' value="#ENV**{credits,''}" />
+				<span class='erreur_message'>(#ENV*{erreurs/credits})</span>
+				]<input type='text' class='text' name='credits' id='credits' value="#ENV{credits,''}" />
 			</div>
 			[(#MEDIA|=={image}|oui)
-				<div class="editer editer_alt[ (#ENV**{erreurs}|table_valeur{alt}|oui)erreur]">
+				<div class="editer editer_alt[ (#ENV*{erreurs/alt}|oui)erreur]">
 					<label for="alt"><:medias:label_alt:></label>[
-					<span class='erreur_message'>(#ENV**{erreurs}|table_valeur{alt})</span>
+					<span class='erreur_message'>(#ENV*{erreurs/alt})</span>
 					]<p class="explication"><:medias:info_alt:></p>
-					<input type='text' class='text' name='alt' id='alt' value="#ENV**{alt,''}" />
+					<input type='text' class='text' name='alt' id='alt' value="#ENV{alt,''}" />
 				</div>
 			]
 			[(#ENV{_editer_dimension})
-			<div class="editer editer_dimensions[ (#ENV**{erreurs}|table_valeur{dimensions}|oui)erreur]">
+			<div class="editer editer_dimensions[ (#ENV*{erreurs/dimensions}|oui)erreur]">
 				<label><:medias:entree_dimensions:></label>[
-				<span class='erreur_message'>(#ENV**{erreurs}|table_valeur{dimensions})</span>]
+				<span class='erreur_message'>(#ENV*{erreurs/dimensions})</span>]
 				<span class='choix largeur'>
 					<label for='largeur' class='largeur'><:medias:info_largeur:></label>
 					<input type='text' class='text' name='largeur' id='largeur' value="[(#ENV{largeur})]" />

--- a/formulaires/illustrer_document.html
+++ b/formulaires/illustrer_document.html
@@ -5,9 +5,9 @@
 	<form action="#ENV{action}#formulaire_illustrer_document-#ENV{id,new}" method="post" enctype='multipart/form-data'><div>
 		#ACTION_FORMULAIRE
 		<div class="editer-groupe">
-			<div class="editer editer_fichier[ (#ENV**{erreurs}|table_valeur{fichier}|oui)erreur]">
+			<div class="editer editer_fichier[ (#ENV*{erreurs/fichier}|oui)erreur]">
 				<label for="fichier"><:medias:label_fichier_vignette:></label>[
-				<span class='erreur_message'>(#ENV**{erreurs}|table_valeur{fichier})</span>
+				<span class='erreur_message'>(#ENV*{erreurs/fichier})</span>
 				][<tt>(#ENV{vignette}|set_spip_doc)</tt><br />][
 				(#CONFIG{taille_preview}|intval|?{#ENV*{vignette}|image_reduire{#CONFIG{taille_preview}},#ENV*{vignette}|balise_img})
 				][(#ENV*{vignette}|non)<:medias:aucune_vignette:>

--- a/formulaires/inc-upload_document.html
+++ b/formulaires/inc-upload_document.html
@@ -13,7 +13,7 @@
 	<div class='joindre_mode#GET{domid}[(#GET{methode}|=={#CLE}|non)none-js]' id='joindre_#CLE#GET{domid}'>

 		<INCLURE{fond=formulaires/methodes_upload/#CLE,env,domid=#GET{domid}} />
-		
+
 		[(#GET{methodes_upload}|count|>{1}|oui)
 		<div class='sourceup'>
 			<:medias:bouton_download_depuis:>
@@ -32,7 +32,7 @@
 </BOUCLE_methodes>

 [(#REM) Formulaire pour deballer un zip]
-[<div class="editer-groupe"><div class='fieldset deballer_zip'>(#ENV**{erreurs}|table_valeur{lister_contenu_archive})</div></div>]
+[<div class="editer-groupe"><div class='fieldset deballer_zip'>(#ENV**{erreurs/lister_contenu_archive})</div></div>]

 <script type='text/javascript'>/*<!\[CDATA\[*/
 if (window.jQuery){

--- a/formulaires/methodes_upload/distant.html
+++ b/formulaires/methodes_upload/distant.html
 <div class="editer-groupe">
-    <div class='editer editer_url[ (#ENV**{erreurs}|table_valeur{url}|oui)erreur]'>
+    <div class='editer editer_url[ (#ENV*{erreurs/url}|oui)erreur]'>
        <label for='url#ENV{domid}'><:medias:info_referencer_doc_distant:></label>[
-        <span class='erreur_message'>(#ENV**{erreurs}|table_valeur{url})</span>
+        <span class='erreur_message'>(#ENV*{erreurs/url})</span>
        ]<input class='text' placeholder="https://" type="text" name="url" value='#ENV{url}' id="url#ENV{domid}"/>
        <!--editer_url-->
    </div>

--- a/formulaires/methodes_upload/ftp.html
+++ b/formulaires/methodes_upload/ftp.html
 <div class="editer-groupe">
-    [<div class='editer editer_cheminftp[ (#ENV**{erreurs}|table_valeur{cheminftp}|oui)erreur]'>
+    [<div class='editer editer_cheminftp[ (#ENV*{erreurs/cheminftp}|oui)erreur]'>
        <label for='cheminftp#ENV{domid}'>[(#VAL{info_selectionner_fichier}|_T{#ARRAY{upload,#ENV*{_dir_upload_ftp}}})]</label>[
-        <span class='erreur_message'>(#ENV**{erreurs}|table_valeur{cheminftp})</span>
+        <span class='erreur_message'>(#ENV*{erreurs/cheminftp})</span>
        ]<select name='cheminftp' id='cheminftp#ENV{domid}' size='1'>
        <option value=''>&gt;&gt;</option>
        (#ENV*{_options_upload_ftp})

--- a/formulaires/methodes_upload/mediatheque.html
+++ b/formulaires/methodes_upload/mediatheque.html
 <div class="editer-groupe">
-    <div class='editer editer_refdoc_joindre[ (#ENV**{erreurs}|table_valeur{refdoc_joindre}|oui)erreur]'>
+    <div class='editer editer_refdoc_joindre[ (#ENV*{erreurs/refdoc_joindre}|oui)erreur]'>
        <label for='refdoc_joindre#ENV{domid}'><:medias:label_refdoc_joindre:></label>[
-        <span class='erreur_message'>(#ENV**{erreurs}|table_valeur{refdoc_joindre})</span>
+        <span class='erreur_message'>(#ENV*{erreurs/refdoc_joindre})</span>
        ]<input class='text' type="text" name="refdoc_joindre" value='#ENV{refdoc_joindre}' id="refdoc_joindre#ENV{domid}"/>
        <input class='btn submit' type="button" name="parcourir" value="<:medias:bouton_parcourir:>"
            onclick="jQuery.modalboxload('#URL_ECRIRE{popin-choisir_document,var_zajax=contenu&selectfunc=mediaselect#ENV{domid}}',{autoResize: true});"

--- a/formulaires/methodes_upload/upload.html
+++ b/formulaires/methodes_upload/upload.html
 <div class="editer-groupe">
-    <div class='editer editer_fichier_upload[ (#ENV**{erreurs}|table_valeur{fichier_upload}|oui)erreur]'>
+    <div class='editer editer_fichier_upload[ (#ENV*{erreurs/fichier_upload}|oui)erreur]'>
        <label for='fichier_upload#ENV{domid}'><:bouton_upload:></label>[
-        <span class='erreur_message'>(#ENV**{erreurs}|table_valeur{fichier_upload})</span>
+        <span class='erreur_message'>(#ENV*{erreurs/fichier_upload})</span>
        ]<input class='file[(#ENV{multi}|=={non}|non) multi]' type="file" name="fichier_upload[]" value='[(#ENV{fichier_upload}|is_array|?{'', #ENV{fichier_upload}})]' id="fichier_upload#ENV{domid}" size='11' />
        <!--editer_fichier_upload-->
    </div>

--- a/modeles/file_emb_application.html
+++ b/modeles/file_emb_application.html
@@ -18,19 +18,19 @@
 ]>
 <figure class="spip_doc_inner">
 ][(#EXTENSION|=={swf}|oui)
-<object classid='clsid:d27cdb6e-ae6d-11cf-96b8-444553540000' 
- codebase='http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=#ENV{version,'6,0,0,0'}' 
+<object classid='clsid:d27cdb6e-ae6d-11cf-96b8-444553540000'
+ codebase='http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=#ENV{version,'6,0,0,0'}'
 width='#GET{largeur}' height='#GET{hauteur}'>
 	<param name='movie' value='#URL_DOCUMENT' />
 	[(#ENV{quality,''}|non)<param name="quality" value="high" />]
 	[(#ENV*|env_to_params)]
-	<!--#EVAL**{chr(91)}if !IE#EVAL**{chr(93)}> <-->
+	<!--\[if !IE\]> <-->
 	<object data="#URL_DOCUMENT" width='#GET{largeur}' height='#GET{hauteur}' type="application/x-shockwave-flash">
 		[(#ENV{quality,''}|non)<param name="quality" value="high" />]
 		[(#ENV*|env_to_params)]
 		<param name="pluginurl" value="http://www.macromedia.com/go/getflashplayer" />
 	</object>
-	<!--> <!#EVAL**{chr(91)}endif#EVAL**{chr(93)}-->
+	<!--> \[endif\]-->
 </object>
 #SET{done,1}
 ][(#GET{done,0}|non)