Report de 1ee6c1a8

Fix #5021 (closed) et #5022 (closed) :

• mieux decouper les chaines y compris dans le cas des simples quote echappes par sqlite
• echapper le % dans la chaine pour eviter la confusion de sprintf
• remplacer les chaines 1 par 1 via substr_replace() en commencant par la fin

Refs: https://git.spip.net/spip-team/securite/issues/4837