Refs: spip-team/securite#4839
(cherry picked from commit 1e5d71bec1bbe889ff1db86e5881569b97409fed)
(cherry picked from commit 2e4b6c44)
(cherry picked from commit c5d253cf)

Refs: spip-team/securite#4839
(cherry picked from commit bbd88bd24a25e4e4aa9b0d12ff0124df8df9c4f1)
(cherry picked from commit 0d4a43f8)

- mieux decouper les chaines y compris dans le cas des simples quote echappes par sqlite
- echapper le % dans la chaine pour eviter la confusion de sprintf
- remplacer les chaines 1 par 1 via substr_replace() en commencant par la fin

Refs: https://git.spip.net/spip-team/securite/issues/4836

Refs: https://git.spip.net/spip-team/securite/issues/4832

Refs: spip-contrib-outils/securite@43e9519d

fix: utiliser un base64_decode strict sur _oups et dans tous les cas echapper son contenu par entites_html
+ ignorer l'argument en request si le formulaire n'est pas editable
+ retablir la securite sur #ENV{_oups} vu que c'est un base64 qui ne sera modifie par aucune fonction d'echappement

Refs: https://git.spip.net/spip-team/securite/issues/4835

Refs: https://git.spip.net/spip-team/securite/issues/4833

fix: ne pas faire tourner les aleas et le hash du password quand on veririe le pass de l'auteur connecte, car cela invalide les signatures de formulaire et provoque des petits bugs de comportement en cas où il y a une autre erreur sur le formulaire

feat: une fonction `auth_controler_password_auteur_connecte()` pour contrôler facilement le password de l'auteur connecté

Refs: https://git.spip.net/spip-team/securite/issues/4832 https://git.spip.net/spip-team/securite/issues/4833

Cherry-picked from: c994fa73

fix(spip-team/securite#4831) Lever le flag `espace_prive=1` quand on calcule un traitement via la balise `#INFO_` dans l'espace prive, pour bien avoir tous les traitements nécéssaires

Fix: #5215

claffont a rédigé il y a 2 ans et cerdic a validé il y a 2 ans

Ticket #5155

Securiser le retour de nettoyer_titre_email quand il est utilisé dans un squelette (Louka) https://git.spip.net/spip-team/securite/issues/4829

Masquer aussi les cookies sensibles dans $_SERVER['HTTP_COOKIE'] et $_ENV['HTTP_COOKIE'] (suite de #54 et https://git.spip.net/spip-team/securite/issues/4494)

echapper sel_db avant de la reinserer dans une hidden (mais c'est assez theorique car si on arrive la c'est qu'on a reussi a se connecter dessus, donc a priori le nom ne peut pas avoir de caracteres speciaux) https://git.spip.net/spip-team/securite/issues/3730

securiser HTTP_HOST et REQUEST_URI dans url_de_base() https://git.spip.net/spip-team/securite/issues/3728

Utiliser \b plutot que \s pour etre plus robuste sur la regexp de _PROTEGE_BLOCS https://git.spip.net/spip-team/securite/issues/3703

securiser la construction de la regexp dans parametre_url https://git.spip.net/spip-team/securite/issues/3702

securiser l'affichage de erreur quand il arrive de l'url https://git.spip.net/spip-team/securite/issues/3698

Securiser l'usage des var_mode_xx dans le debuggueur https://git.spip.net/spip-team/securite/issues/3602

spip_htmlspecialchars() sur tous les affichages de variable dans le html + filtrer $adresse_ldap https://git.spip.net/spip-team/securite/issues/3597

ne pas accepter un test_dir avec des .. dedans lors du test des repertoires en ecriture https://git.spip.net/spip-team/securite/issues/3596

RastaPopoulos a rédigé il y a 3 ans et cerdic a validé il y a 2 ans

Fix #5076 : réparer la fonction buguée en n'utilisant jamais les clés raccourcis qui sont non fiables, mais les autres vraies clés suivant la source demandée, celle du lien ou pas

JamesRezo a rédigé il y a 3 ans et b_b a validé il y a 3 ans

feat(header_silencieux) : ajout et application du filtre |header_silencieux

Co-authored-by: JamesRezo <james@rezo.net>
Reviewed-on: https://git.spip.net/spip/spip/pulls/5010


Co-authored-by: JamesRezo <jamesrezo@noreply.git.spip.net>
Co-committed-by: JamesRezo <jamesrezo@noreply.git.spip.net>

comme lors de l'ajout d'un document local, utliser `corriger_extension()` pour gérer les correspondances d'extension de ce type

fix #4960

report adapté de !4961