spip/ecrire | 20 commits
Par Maïeul Rouquette, le 28 février 2026 à 21h12min :
deprecate: cadre_depliable()
Modifié
inc/layer.php
Détails : deprecate: `cadre_depliable()` (b5ce86c0) · Validations · spip / ecrire · GitLab
==============================
Par Matthieu Marcillaud, le 27 février 2026 à 10h43min :
build: Version 4.4.11
Modifié
CHANGELOG.md
inc_version.php
paquet.xml
Détails : build: Version 4.4.11 (0649c621) · Validations · spip / ecrire · GitLab
==============================
Par Maïeul, le 27 février 2026 à 10h34min :
docs(CHANGELOG): coquille dans le changelog 4.4.10
Modifié
CHANGELOG.md
Détails : docs(CHANGELOG): coquille dans le changelog 4.4.10 (96dcdb43) · Validations · spip / ecrire · GitLab
==============================
Par Maïeul, le 27 février 2026 à 10h32min :
fix: forcer le recalcul du cache suite à la correction sur #ID_XX à la racine
(cherry picked from commit 0e9646cf023c5952adbc6d521f3ddc59478c06fe)
Co-authored-by: Maïeul Rouquette maieul@maieul.net
Modifié
inc_version.php
==============================
Par Matthieu Marcillaud, le 27 février 2026 à 10h24min :
fix: Sur les balise #TRUC* d’environnement, ne pas appliquer les traitements, comme sur ENV*{truc}
Complément à !197
Refs: !197 !186
(cherry picked from commit 7f054d501bbba6bdf8e841f249867457e4ba40aa)
Modifié
public/references.php
==============================
Par Maïeul, le 26 février 2026 à 18h49min :
fix: Retours des balises #ID_ (correction de !186)
Appliquer intval sur les balises #ID_ de l’environnement était un peu fort
- notamment lorsque l’élément est totalement absent : cela retournait
0au lieu denull - également des cas existent de champs
ID_qui ne sont pas des identifiants numériques.
La supposition est que la désactivation historique de la sécurité pour ces champs ID_
était faite pour des questions de performance (éviter trop d’appels à interdire_scripts),
notamment car l’écran de sécurité s’en occupe au préalable.
La proposition ici est d’appliquer la sécurité (interdire_script) sur les champs ID_
uniquement s’ils proviennent de l’environnement, et sans le cast intval.
Refs: !186
Fix: spip/prive#127
(cherry picked from commit c08ac69405b625891b6c123762176bdbc102ab3d)
Co-authored-by: Matthieu Marcillaud marcimat@rezo.net
Modifié
public/references.php
==============================
Par Matthieu Marcillaud, le 26 février 2026 à 09h29min :
build: Version 4.4.10
Modifié
CHANGELOG.md
inc_version.php
paquet.xml
Détails : build: Version 4.4.10 (0c789ebf) · Validations · spip / ecrire · GitLab
==============================
Par Maïeul, le 25 février 2026 à 14h47min :
fix: eviter une boucle infinie en respectant l’option ignore_echappe_js lors du second appel de interdire_scripts()
(cherry picked from commit 3177ae158e9da407ba20e4e44ab5c5e44b6c82c0)
Co-authored-by: Cerdic cedric@yterium.com
Modifié
inc/texte_mini.php
==============================
Par Matthieu Marcillaud, le 25 février 2026 à 11h49min :
fix: Mieux sanitizer les valeurs d’environnement tabulaires provenant du GET ou POST
Fix: spip-security/securite#4872
Modifié
inc/utils.php
==============================
Par Matthieu Marcillaud, le 25 février 2026 à 11h47min :
fix: Utiliser spip_sanitize_env_from_request() directement dans filtre_sanitize_env
(cherry picked from commit 9d48cbc58561fa4d985700af1c2f5311d93368e8)
Modifié
inc/filtres.php
==============================
Par Matthieu Marcillaud, le 24 février 2026 à 17h13min :
chore: Fix report 1ba83f8e9
Modifié
public/references.php
Détails : chore: Fix report 1ba83f8e9 (a008f1bd) · Validations · spip / ecrire · GitLab
==============================
Par Maïeul, le 24 février 2026 à 10h47min :
fix: forcer le recalcul des squelettes suite à modif de sécu
Ref: Connexion · GitLab
(cherry picked from commit 6ffdd737d7bae06a0808bce0ca456bff0f051227)
Co-authored-by: Maïeul Rouquette maieul@maieul.net
Modifié
inc_version.php
==============================
Par Cerdic, le 24 février 2026 à 10h32min :
fix: gerer mieux le fallback de #TOTO vers #ENV{toto}
appliquer les mêmes traitements qu’avec la balise #ENV et pour les champs commençant par ID_ appliquer un intval au lieu de interdire_scripts.
Fix: Connexion · GitLab
(cherry picked from commit ce48ed32eecdfb4fb763193ecadc3ff16db45fa2)
Modifié
public/references.php
==============================
Par Cerdic, le 23 février 2026 à 17h28min :
fix: utiliser hash_equals pour verifier_low_sec() c’est une meilleure pratique
Fix: Connexion · GitLab
(cherry picked from commit 8afc8f18e6b57ad945f14a1bc3946395eabe3781)
Modifié
inc/acces.php
==============================
Par Matthieu Marcillaud, le 18 février 2026 à 09h20min :
build: Version 4.4.9
Modifié
CHANGELOG.md
inc_version.php
paquet.xml
Détails : build: Version 4.4.9 (c69d51eb) · Validations · spip / ecrire · GitLab
==============================
Par Matthieu Marcillaud, le 17 février 2026 à 15h21min :
fix: Plus d’info sur le log de deprecated généré
Modifié
inc/filtres.php
src/Compilateur/Iterateur/Data.php
Détails : fix: Plus d’info sur le log de deprecated généré (00a8c187) · Validations · spip / ecrire · GitLab
==============================
Par Matthieu Marcillaud, le 17 février 2026 à 15h20min :
security: Limiter l’usage de données sérialisées dans le filtre table_valeur et l’itérateur DATA
- Ne pas autoriser les objets sérialisés,
- Ajoute un avertissement de dépréciation,
- Réduit certains appels à table_valeur,
- report partiel de !183
Ces usages sont supprimés en SPIP 5.0, et il est recommandé de les éviter dès maintenant.
Refs: !183 spip-security/securite#4871
Modifié
inc/filtres.php
public/balises.php
src/Compilateur/Iterateur/Data.php
src/Compilateur/Iterateur/Decorator.php
Détails : https://git.spip.net/spip/ecrire/-/commit/f1dae1c3932c189276e9241e075368696954f45b
==============================
Par Matthieu Marcillaud, le 17 février 2026 à 14h35min :
fix: Notice PHP en présence d’une erreur de squelette, mais en étant non connecté.
report de 97f0e7f49
Modifié
public.php
==============================
Par Cerdic, le 16 février 2026 à 15h43min :
fix: ajouter une option ignore_echappe_js à safehtml() + un argument $options à is_html_safe() que l’on passe à l’appel interne à safehtml()
(cherry picked from commit 0d1d59e3c34d22e4657b81dd1a548678c5a81100)
Modifié
inc/texte_mini.php
==============================
Par Matthieu Marcillaud, le 12 février 2026 à 10h44min :
build: Version 4.4.8
Modifié
CHANGELOG.md
inc_version.php
paquet.xml
Détails : build: Version 4.4.8 (0f95a84d) · Validations · spip / ecrire · GitLab