Vu que ya juste trois lignes de code, je suppose que c'est délibéré : la fonction spip_desinfecte() ne nettoie qu'en surface ! Lorsque les valeurs du tableaux sont elles-mêmes des tableaux, ça ne rentre pas à l'intérieur pour continuer le nettoyage (sauf pour texte_plus). Ce qui signifie qu'après on est obligé de gratter à la main !...
Alors pourquoi ?
Là où ça devient un bug, c'est qu'il est tout à fait valide dans un formulaire HTML, d'avoir des champs en tableaux complexes.
Par exemple je peux avoir : name="saisies[truc][options][label]"
Mais quand on fait poster, SPIP va nettoyer _POST[] mais uniquement les chaines basiques ! Ainsi il va regarder $_POST['saisies'] va voir que c'est un tableau et va passer son chemin.
$_POST['saisies']['truc'] ne sera pas nettoyé
et encore moins $_POST['saisies']['truc']['options] !...
Et là c'est un bug.