spip/ecrire
Par Matthieu Marcillaud, le 4 mars 2026 à 10h38min :
fix: Limiter le changement sur les balises avec traitements (tel que #TEXTE) provenant de l’env
SPIP 4.4.10 a modifié le comportement des balises #X si X est pris dans l’environnement
du squelette (non trouvé dans une des boucles), en appliquant les mêmes traitements
que #ENV dessus, de sorte que dans ce cas #ENV{x} et #X sont identiques.
Cependant cela casse différents usages
#TEXTEprovenant de l’env, car les traitements automatiques de TEXTE sont aussi appliqués en plus.[(#TRUC|propre)]avec des modèles aussi.
On propose ici de corriger le problème de #TEXTE qui est le plus problématique
en appliquant une sanitisation uniquement si la valeur provient de l’url / requete,
et donc dans ce cas, ne pas appliquer les traitements ENV en plus.
Le second cas peut être corrigé avec [(#TRUC*|propre)] si on a confiance
dans la valeur reçue.
Refs: spip/ecrire!186 spip/ecrire!197 spip/ecrire!199
Modifié
public/references.php
tests/integration/Squelettes/Env/BaliseLikeEnvTest.php