Refactoring de la fonction recuperer_infos_distantes() qui prend maintenant un tableau d'options en second argument (seul le core utilisait les 2nd et 3e arguments) et une option supplementaire pour passer une callback de validation de l'URL distante finale (apres suivi des redirections eventuelles) https://git.spip.net/spip-team/securite/issues/4336

Securiser le retour de nettoyer_titre_email quand il est utilisé dans un squelette (Louka) https://git.spip.net/spip-team/securite/issues/4829

Masquer aussi les cookies sensibles dans $_SERVER['HTTP_COOKIE'] et $_ENV['HTTP_COOKIE'] (suite de #54 et https://git.spip.net/spip-team/securite/issues/4494)

echapper sel_db avant de la reinserer dans une hidden (mais c'est assez theorique car si on arrive la c'est qu'on a reussi a se connecter dessus, donc a priori le nom ne peut pas avoir de caracteres speciaux) https://git.spip.net/spip-team/securite/issues/3730

securiser HTTP_HOST et REQUEST_URI dans url_de_base() https://git.spip.net/spip-team/securite/issues/3728

Reconnaitre les cookies secure *meme* si on utilise un cookie_prefix + permettre d'etendre la liste par defaut via la constante _COOKIE_SECURE_LIST https://git.spip.net/spip-team/securite/issues/3725

Utiliser \b plutot que \s pour etre plus robuste sur la regexp de _PROTEGE_BLOCS https://git.spip.net/spip-team/securite/issues/3703

securiser la construction de la regexp dans parametre_url https://git.spip.net/spip-team/securite/issues/3702

Quand aucun pattern n'est fournit dans preg_files() inutile de construire un pattern qui va matcher a tous les coups avec le risque de faire une erreur de syntaxe regexp. Autant accepter tous les fichiers si pattern est vide https://git.spip.net/spip-team/securite/issues/3700

securiser l'affichage de erreur quand il arrive de l'url https://git.spip.net/spip-team/securite/issues/3698

Securiser l'usage des var_mode_xx dans le debuggueur https://git.spip.net/spip-team/securite/issues/3602

spip_htmlspecialchars() sur tous les affichages de variable dans le html + filtrer $adresse_ldap https://git.spip.net/spip-team/securite/issues/3597

ne pas accepter un test_dir avec des .. dedans lors du test des repertoires en ecriture https://git.spip.net/spip-team/securite/issues/3596

Ticket #5120 : ne pas définir la constante _DEV_VERSION_SPIP_COMPAT, même en dev, charge à chacun·e de le faire dans son fichier mes_options.php si besoin

Fix #5115 : éliminer Warning lors de l'ajout d'un commentaire en début de fichier lorsque l'on passe un tableau à produire_fond_statique

chore: #4881 suppression de la globale flag_sapi_name, la fonction php_sapi_name() étant toujours présente depuis PHP4.0.1 (juin 2000)

George Kandalaft a rédigé 3 years ago et salvatore a validé 3 years ago

[Salvatore] [source:ecrire/lang/ ecrire] Export depuis https://trad.spip.net de la langue en
[Salvatore] [source:ecrire/lang/ ecrire] Mise a jour du bilan depuis https://trad.spip.net

en appliquant `flex-wrap: wrap` à la liste de la pagination

ref spip/dist#4845

Fix #5076 : réparer la fonction buguée en n'utilisant jamais les clés raccourcis qui sont non fiables, mais les autres vraies clés suivant la source demandée, celle du lien ou pas

Un peu de JS pour eviter les doubles clic sur un bouton action qui lance une action longue : lorsqu'un form.bouton_action_post est submit on disabled tous ses boutons, et on ajoute une class processing-submitted-form sur le form, a toute fin utile

Revert "Un peu de JS pour eviter les doubles clic sur un bouton action qui lance une action longue : le bouton passe en disabled et on met une class processing sur le bouton et le form, a traiter eventuellement en css en plus"

This reverts commit 265a63d4.

car le in_array() sur ob_get_status() ne fonctionnait pas (PHP a semble t’il corrigé
ça en php 8+)

Du coup, on peut considérer que ce code est mort, probablement un relicat
de gz output par SPIP à une époque, qui n’est plus fait actuellement.

Éviter un arobase qui cachait un warning dont on peut se passer : aucune fonction decompiler_xx n’attend 4 paramètres !