spip/ecrire
Par Matthieu Marcillaud, le 26 février 2026 à 16h23min :
fix: Retours des balises #ID_ (correction de !186)
Appliquer intval sur les balises #ID_ de l’environnement était un peu fort
- notamment lorsque l’élément est totalement absent : cela retournait
0au lieu denull - également des cas existent de champs
ID_qui ne sont pas des identifiants numériques.
La supposition est que la désactivation historique de la sécurité pour ces champs ID_
était faite pour des questions de performance (éviter trop d’appels à interdire_scripts),
notamment car l’écran de sécurité s’en occupe au préalable.
La proposition ici est d’appliquer la sécurité (interdire_script) sur les champs ID_
uniquement s’ils proviennent de l’environnement, et sans le cast intval.
Refs: !186
Fix: spip/prive#127
Modifié
public/references.php