bricebou a rédigé jan. 28, 2023 et marcimat a validé jan. 30, 2023

(cherry picked from commit 62f16f37)

b_b a rédigé mars 13, 2023 et marcimat a validé mars 14, 2023

& refactor: homogeneiser l'utilisation de #ENV dans les formulaires

Ref: spip-team/securite#4841
(cherry picked from commit cfa2a224)

cerdic a rédigé juil. 03, 2023 et marcimat a validé juil. 11, 2023

fix: lors du calcul d'une preview via le porte plume, il faut evaluer le PHP de confiance issue des modèles si il y en a

Refs: spip-team/securite/#4843
(cherry picked from commit 3ca4cf78)

(cherry picked from commit d74f71fe)

cerdic a rédigé mai 07, 2024 et marcimat a validé mai 28, 2024

fix: pas d'indirection PHP par defaut dans les modeles en previsu, et l'eventuel PHP restant venant de modeles persos necessite une autorisation pour eval

Refs: spip-team/security#4853
(cherry picked from commit 97f9d6dd)

cerdic a rédigé mai 22, 2024 et marcimat a validé mai 28, 2024

(cherry picked from commit 7f6666b7)

cerdic a rédigé mai 22, 2024 et marcimat a validé mai 28, 2024

fix: autorisations par défaut : il faut etre admin pour utiliser la previsu dans le public et la previsu du PHP des modèles est interdite par défaut, autorisation à ouvrir au cas par cas sur les sites qui en ont besoin
C'est potentiellement nécessaire si un site utilise le porte plume dans le public, avec de la previsu (rare), et des modèles qui génèrent du PHP (encore plus rare puisque le cas principal du `modeles/formulaire.html` a été traité autrement).

Refs: spip-team/securite#4853
(cherry picked from commit d7c95ea4)

(cherry picked from commit 9ec0a6d7)

Ref: spip#6022
(cherry picked from commit 0afb1dd3)

tofulm a rédigé fév. 06, 2025 et Maïeul a validé fév. 10, 2025

Ref: #4833 !4838
(cherry picked from commit 174460cc)