spip/ecrire | 20 commits
Par Matthieu Marcillaud, le 6 mars 2026 à 11h13min :
build: Version 4.4.13
Modifié
CHANGELOG.md
inc_version.php
paquet.xml
Détails : build: Version 4.4.13 (430909d7) · Validations · spip / ecrire · GitLab
==============================
Par Matthieu Marcillaud, le 6 mars 2026 à 11h09min :
fix: Syntaxe compatible PHP 7.4
Modifié
public/references.php
Détails : fix: Syntaxe compatible PHP 7.4 (7cfa72b4) · Validations · spip / ecrire · GitLab
==============================
Par Matthieu Marcillaud, le 6 mars 2026 à 10h30min :
build: Version 4.4.12
Modifié
CHANGELOG.md
inc_version.php
paquet.xml
Détails : build: Version 4.4.12 (5fdc9bdb) · Validations · spip / ecrire · GitLab
==============================
Par Maïeul Rouquette, le 6 mars 2026 à 10h02min :
fix: up de spip_version_code
(cherry picked from commit e67f1e212fe29bd8cd41a298a2d04a734203d16e)
Modifié
inc_version.php
Détails : fix: up de `spip_version_code` (d7f0fb6c) · Validations · spip / ecrire · GitLab
==============================
Par Matthieu Marcillaud, le 6 mars 2026 à 09h54min :
fix: Limiter le changement sur les balises avec traitements (tel que #TEXTE) provenant de l’env
SPIP 4.4.10 a modifié le comportement des balises #X si X est pris dans l’environnement
du squelette (non trouvé dans une des boucles), en appliquant les mêmes traitements
que #ENV dessus, de sorte que dans ce cas #ENV{x} et #X sont identiques.
Cependant cela casse différents usages, par exemple:
#TEXTEprovenant de l’env, car les traitements automatiques de TEXTE sont aussi appliqués en plus.[(#TRUC|propre)]avec des modèles[(#ID_TRUC|?{#FORMULAIRE_TRUC})]
On propose ici de revenir sur ce changement en SPIP 4.4:
Une balise #TRUC qui « fallback » sur l’environnement du squelette,
voit sa valeur sanitisée si celle-ci provient de la Request uniquement.
On n’applique pas dessus les traitements de #ENV, et on reviendra
sur certains points avec des changements en SPIP 5. Mais on évite
de casser l’existant en 4.4 !
Refs: spip/ecrire!186 spip/ecrire!197 spip/ecrire!199
(cherry picked from commit 111be3dd1ed1bc00b38a419709ebecb55a3ccc7a)
Modifié
public/references.php
==============================
Par Matthieu Marcillaud, le 6 mars 2026 à 08h10min :
docs: Doc calculer_recuperer_env
(cherry picked from commit d8e16794657e72f02822140ff066e150f1e50f94)
Modifié
public/references.php
Détails : docs: Doc calculer_recuperer_env (3211848d) · Validations · spip / ecrire · GitLab
==============================
Par Matthieu Marcillaud, le 6 mars 2026 à 08h09min :
fix: Bien récupérer l’environnement dans une boucle DATA si le champ n’est pas dedans
Refs: spip/spip6080
(cherry picked from commit 29c73fc1af82c4c75fd51fff275116fc1d0cc91c)
Modifié
public/references.php
==============================
Par Matthieu Marcillaud, le 6 mars 2026 à 08h06min :
fix: Simplification du retour de index_compose utilisé dans la boucle DATA
(cherry picked from commit 3286dfdca2a1af63503787e8a159a6cea497704b)
Modifié
public/references.php
==============================
Par Matthieu Marcillaud, le 6 mars 2026 à 08h03min :
chore: Typage du mode d’interdire_scripts
A priori ça ne change rien, mais ça permet d’écrire en squelettes |interdire_scripts{-1}
sans devoir passer par un intval, notamment dans les tests.
(cherry picked from commit 064886c2806a5901776cbc98566ff6d1d17c9b53)
Modifié
inc/texte.php
Détails : chore: Typage du mode d’interdire_scripts (2a7ca96a) · Validations · spip / ecrire · GitLab
==============================
Par Maïeul Rouquette, le 28 février 2026 à 21h12min :
deprecate: cadre_depliable()
Modifié
inc/layer.php
Détails : deprecate: `cadre_depliable()` (b5ce86c0) · Validations · spip / ecrire · GitLab
==============================
Par Matthieu Marcillaud, le 27 février 2026 à 10h43min :
build: Version 4.4.11
Modifié
CHANGELOG.md
inc_version.php
paquet.xml
Détails : build: Version 4.4.11 (0649c621) · Validations · spip / ecrire · GitLab
==============================
Par Maïeul, le 27 février 2026 à 10h34min :
docs(CHANGELOG): coquille dans le changelog 4.4.10
Modifié
CHANGELOG.md
Détails : docs(CHANGELOG): coquille dans le changelog 4.4.10 (96dcdb43) · Validations · spip / ecrire · GitLab
==============================
Par Maïeul, le 27 février 2026 à 10h32min :
fix: forcer le recalcul du cache suite à la correction sur #ID_XX à la racine
(cherry picked from commit 0e9646cf023c5952adbc6d521f3ddc59478c06fe)
Co-authored-by: Maïeul Rouquette maieul@maieul.net
Modifié
inc_version.php
==============================
Par Matthieu Marcillaud, le 27 février 2026 à 10h24min :
fix: Sur les balise #TRUC* d’environnement, ne pas appliquer les traitements, comme sur ENV*{truc}
Complément à !197
Refs: !197 !186
(cherry picked from commit 7f054d501bbba6bdf8e841f249867457e4ba40aa)
Modifié
public/references.php
==============================
Par Maïeul, le 26 février 2026 à 18h49min :
fix: Retours des balises #ID_ (correction de !186)
Appliquer intval sur les balises #ID_ de l’environnement était un peu fort
- notamment lorsque l’élément est totalement absent : cela retournait
0au lieu denull - également des cas existent de champs
ID_qui ne sont pas des identifiants numériques.
La supposition est que la désactivation historique de la sécurité pour ces champs ID_
était faite pour des questions de performance (éviter trop d’appels à interdire_scripts),
notamment car l’écran de sécurité s’en occupe au préalable.
La proposition ici est d’appliquer la sécurité (interdire_script) sur les champs ID_
uniquement s’ils proviennent de l’environnement, et sans le cast intval.
Refs: !186
Fix: spip/prive#127
(cherry picked from commit c08ac69405b625891b6c123762176bdbc102ab3d)
Co-authored-by: Matthieu Marcillaud marcimat@rezo.net
Modifié
public/references.php
==============================
Par Matthieu Marcillaud, le 26 février 2026 à 09h29min :
build: Version 4.4.10
Modifié
CHANGELOG.md
inc_version.php
paquet.xml
Détails : build: Version 4.4.10 (0c789ebf) · Validations · spip / ecrire · GitLab
==============================
Par Maïeul, le 25 février 2026 à 14h47min :
fix: eviter une boucle infinie en respectant l’option ignore_echappe_js lors du second appel de interdire_scripts()
(cherry picked from commit 3177ae158e9da407ba20e4e44ab5c5e44b6c82c0)
Co-authored-by: Cerdic cedric@yterium.com
Modifié
inc/texte_mini.php
==============================
Par Matthieu Marcillaud, le 25 février 2026 à 11h49min :
fix: Mieux sanitizer les valeurs d’environnement tabulaires provenant du GET ou POST
Fix: spip-security/securite#4872
Modifié
inc/utils.php
==============================
Par Matthieu Marcillaud, le 25 février 2026 à 11h47min :
fix: Utiliser spip_sanitize_env_from_request() directement dans filtre_sanitize_env
(cherry picked from commit 9d48cbc58561fa4d985700af1c2f5311d93368e8)
Modifié
inc/filtres.php
==============================
Par Matthieu Marcillaud, le 24 février 2026 à 17h13min :
chore: Fix report 1ba83f8e9
Modifié
public/references.php
Détails : chore: Fix report 1ba83f8e9 (a008f1bd) · Validations · spip / ecrire · GitLab