fix: pas d'indirection PHP par defaut dans les modeles en previsu, et...

fix: pas d'indirection PHP par defaut dans les modeles en previsu, et l'eventuel PHP restant venant de modeles persos necessite une autorisation pour eval Refs: spip-team/security#4853

fix: pas d'indirection PHP par defaut dans les modeles en previsu, et...
97f9d6dd · cerdic · 68588faa · 97f9d6dd · 97f9d6dd
--- a/action/porte_plume_previsu.php
+++ b/action/porte_plume_previsu.php
@@ -35,5 +35,9 @@ function action_porte_plume_previsu_dist() {
 		$contexte = [];
 	}

+	// pas d'indirection PHP dans les modeles formulaire
+	$GLOBALS['_FORCER_EXECUTER_DIRECTEMENT_BALISE_DYNAMIQUE'] = true;
 	echo recuperer_fond('prive/porte_plume_preview', $contexte);
+	// retablir le fonctionnement par défaut pour les éventuels crons qui vont tourner après
+	unset($GLOBALS['_FORCER_EXECUTER_DIRECTEMENT_BALISE_DYNAMIQUE']);
 }
--- a/porte_plume_fonctions.php
+++ b/porte_plume_fonctions.php
@@ -863,7 +863,8 @@ function traitements_previsu($texte, $nom_champ = '', $type_objet = '', $connect
 	}

 	// si il y a du PHP issu de modeles, il faut l'eval ici, car on aura pas de eval final contrairement aux pages SPIP
-	if (defined('_PROTEGE_PHP_MODELES')) {
+	if (defined('_PROTEGE_PHP_MODELES')
+	  && autoriser('previsualiser','modelesphp')) {
 		$texte = echappe_retour($texte, 'php' . _PROTEGE_PHP_MODELES, 'traitements_previsu_php_modeles_eval');
 	}