spip / SPIP

ecrire/base/connect_sql.php

Indentation +312 added lines, -312 removed lines

@@ -16,7 +16,7 @@ 
  * @package SPIP\Core\SQL
  **/
 if (!defined('_ECRIRE_INC_VERSION')) {
-	return;
+    return;
 }
 require_once _ROOT_RESTREINT . 'base/objets.php';
 
@@ -42,118 +42,118 @@ 
  **/
 function spip_connect($serveur = '', $version = '') {
 
-	$serveur = !is_string($serveur) ? '' : strtolower($serveur);
-	$index = $serveur ?: 0;
-	if (!$version) {
-		$version = $GLOBALS['spip_sql_version'];
-	}
-	if (isset($GLOBALS['connexions'][$index][$version])) {
-		return $GLOBALS['connexions'][$index];
-	}
-
-	include_spip('base/abstract_sql');
-	$install = (_request('exec') == 'install');
-
-	// Premiere connexion ?
-	if (!($old = isset($GLOBALS['connexions'][$index]))) {
-		$f = (!preg_match('/^[\w\.]*$/', $serveur))
-			? '' // nom de serveur mal ecrit
-			: ($serveur ?
-				(_DIR_CONNECT . $serveur . '.php') // serveur externe
-				: (_FILE_CONNECT ?: ($install ? _FILE_CONNECT_TMP // init du serveur principal
-						: ''))); // installation pas faite
-
-		unset($GLOBALS['db_ok']);
-		unset($GLOBALS['spip_connect_version']);
-		if ($f) {
-			if (is_readable($f)) {
-				include($f);
-			} elseif ($serveur and !$install) {
-				// chercher une declaration de serveur dans le path
-				// qui pourra un jour servir a declarer des bases sqlite
-				// par des plugins. Et sert aussi aux boucles POUR.
-				find_in_path("$serveur.php", 'connect/', true);
-			}
-		}
-		if (!isset($GLOBALS['db_ok'])) {
-			// fera mieux la prochaine fois
-			if ($install) {
-				return false;
-			}
-			if ($f and is_readable($f)) {
-				spip_log("spip_connect: fichier de connexion '$f' OK.", _LOG_INFO_IMPORTANTE);
-			} else {
-				spip_log("spip_connect: fichier de connexion '$f' non trouve", _LOG_INFO_IMPORTANTE);
-			}
-			spip_log("spip_connect: echec connexion ou serveur $index mal defini dans '$f'.", _LOG_HS);
-
-			// ne plus reessayer si ce n'est pas l'install
-			return $GLOBALS['connexions'][$index] = false;
-		}
-		$GLOBALS['connexions'][$index] = $GLOBALS['db_ok'];
-	}
-	// si la connexion a deja ete tentee mais a echoue, le dire!
-	if (!$GLOBALS['connexions'][$index]) {
-		return false;
-	}
-
-	// la connexion a reussi ou etait deja faite.
-	// chargement de la version du jeu de fonctions
-	// si pas dans le fichier par defaut
-	$type = $GLOBALS['db_ok']['type'];
-	$jeu = 'spip_' . $type . '_functions_' . $version;
-	if (!isset($GLOBALS[$jeu])) {
-		if (!find_in_path($type . '_' . $version . '.php', 'req/', true)) {
-			spip_log("spip_connect: serveur $index version '$version' non defini pour '$type'", _LOG_HS);
-
-			// ne plus reessayer
-			return $GLOBALS['connexions'][$index][$version] = [];
-		}
-	}
-	$GLOBALS['connexions'][$index][$version] = $GLOBALS[$jeu];
-	if ($old) {
-		return $GLOBALS['connexions'][$index];
-	}
-
-	$GLOBALS['connexions'][$index]['spip_connect_version'] = $GLOBALS['spip_connect_version'] ?? 0;
-
-	// initialisation de l'alphabet utilise dans les connexions SQL
-	// si l'installation l'a determine.
-	// Celui du serveur principal l'impose aux serveurs secondaires
-	// s'ils le connaissent
-
-	if (!$serveur) {
-		$charset = spip_connect_main($GLOBALS[$jeu], $GLOBALS['db_ok']['charset']);
-		if (!$charset) {
-			unset($GLOBALS['connexions'][$index]);
-			spip_log('spip_connect: absence de charset', _LOG_AVERTISSEMENT);
-
-			return false;
-		}
-	} else {
-		if ($GLOBALS['db_ok']['charset']) {
-			$charset = $GLOBALS['db_ok']['charset'];
-		}
-		// spip_meta n'existe pas toujours dans la base
-		// C'est le cas d'un dump sqlite par exemple
-		elseif (
-			$GLOBALS['connexions'][$index]['spip_connect_version']
-			and sql_showtable('spip_meta', true, $serveur)
-			and $r = sql_getfetsel('valeur', 'spip_meta', "nom='charset_sql_connexion'", '', '', '', '', $serveur)
-		) {
-			$charset = $r;
-		} else {
-			$charset = -1;
-		}
-	}
-	if ($charset != -1) {
-		$f = $GLOBALS[$jeu]['set_charset'];
-		if (function_exists($f)) {
-			$f($charset, $serveur);
-		}
-	}
-
-	return $GLOBALS['connexions'][$index];
+    $serveur = !is_string($serveur) ? '' : strtolower($serveur);
+    $index = $serveur ?: 0;
+    if (!$version) {
+        $version = $GLOBALS['spip_sql_version'];
+    }
+    if (isset($GLOBALS['connexions'][$index][$version])) {
+        return $GLOBALS['connexions'][$index];
+    }
+
+    include_spip('base/abstract_sql');
+    $install = (_request('exec') == 'install');
+
+    // Premiere connexion ?
+    if (!($old = isset($GLOBALS['connexions'][$index]))) {
+        $f = (!preg_match('/^[\w\.]*$/', $serveur))
+            ? '' // nom de serveur mal ecrit
+            : ($serveur ?
+                (_DIR_CONNECT . $serveur . '.php') // serveur externe
+                : (_FILE_CONNECT ?: ($install ? _FILE_CONNECT_TMP // init du serveur principal
+                        : ''))); // installation pas faite
+
+        unset($GLOBALS['db_ok']);
+        unset($GLOBALS['spip_connect_version']);
+        if ($f) {
+            if (is_readable($f)) {
+                include($f);
+            } elseif ($serveur and !$install) {
+                // chercher une declaration de serveur dans le path
+                // qui pourra un jour servir a declarer des bases sqlite
+                // par des plugins. Et sert aussi aux boucles POUR.
+                find_in_path("$serveur.php", 'connect/', true);
+            }
+        }
+        if (!isset($GLOBALS['db_ok'])) {
+            // fera mieux la prochaine fois
+            if ($install) {
+                return false;
+            }
+            if ($f and is_readable($f)) {
+                spip_log("spip_connect: fichier de connexion '$f' OK.", _LOG_INFO_IMPORTANTE);
+            } else {
+                spip_log("spip_connect: fichier de connexion '$f' non trouve", _LOG_INFO_IMPORTANTE);
+            }
+            spip_log("spip_connect: echec connexion ou serveur $index mal defini dans '$f'.", _LOG_HS);
+
+            // ne plus reessayer si ce n'est pas l'install
+            return $GLOBALS['connexions'][$index] = false;
+        }
+        $GLOBALS['connexions'][$index] = $GLOBALS['db_ok'];
+    }
+    // si la connexion a deja ete tentee mais a echoue, le dire!
+    if (!$GLOBALS['connexions'][$index]) {
+        return false;
+    }
+
+    // la connexion a reussi ou etait deja faite.
+    // chargement de la version du jeu de fonctions
+    // si pas dans le fichier par defaut
+    $type = $GLOBALS['db_ok']['type'];
+    $jeu = 'spip_' . $type . '_functions_' . $version;
+    if (!isset($GLOBALS[$jeu])) {
+        if (!find_in_path($type . '_' . $version . '.php', 'req/', true)) {
+            spip_log("spip_connect: serveur $index version '$version' non defini pour '$type'", _LOG_HS);
+
+            // ne plus reessayer
+            return $GLOBALS['connexions'][$index][$version] = [];
+        }
+    }
+    $GLOBALS['connexions'][$index][$version] = $GLOBALS[$jeu];
+    if ($old) {
+        return $GLOBALS['connexions'][$index];
+    }
+
+    $GLOBALS['connexions'][$index]['spip_connect_version'] = $GLOBALS['spip_connect_version'] ?? 0;
+
+    // initialisation de l'alphabet utilise dans les connexions SQL
+    // si l'installation l'a determine.
+    // Celui du serveur principal l'impose aux serveurs secondaires
+    // s'ils le connaissent
+
+    if (!$serveur) {
+        $charset = spip_connect_main($GLOBALS[$jeu], $GLOBALS['db_ok']['charset']);
+        if (!$charset) {
+            unset($GLOBALS['connexions'][$index]);
+            spip_log('spip_connect: absence de charset', _LOG_AVERTISSEMENT);
+
+            return false;
+        }
+    } else {
+        if ($GLOBALS['db_ok']['charset']) {
+            $charset = $GLOBALS['db_ok']['charset'];
+        }
+        // spip_meta n'existe pas toujours dans la base
+        // C'est le cas d'un dump sqlite par exemple
+        elseif (
+            $GLOBALS['connexions'][$index]['spip_connect_version']
+            and sql_showtable('spip_meta', true, $serveur)
+            and $r = sql_getfetsel('valeur', 'spip_meta', "nom='charset_sql_connexion'", '', '', '', '', $serveur)
+        ) {
+            $charset = $r;
+        } else {
+            $charset = -1;
+        }
+    }
+    if ($charset != -1) {
+        $f = $GLOBALS[$jeu]['set_charset'];
+        if (function_exists($f)) {
+            $f($charset, $serveur);
+        }
+    }
+
+    return $GLOBALS['connexions'][$index];
 }
 
 /**
@@ -162,12 +162,12 @@ 
  * @param string $serveur Nom du connecteur de bdd utilisé
  **/
 function spip_sql_erreur($serveur = '') {
-	$connexion = spip_connect($serveur);
-	$e = sql_errno($serveur);
-	$t = ($connexion['type'] ?? 'sql');
-	$m = "Erreur $e de $t: " . sql_error($serveur) . "\nin " . sql_error_backtrace() . "\n" . trim($connexion['last']);
-	$f = $t . $serveur;
-	spip_log($m, $f . '.' . _LOG_ERREUR);
+    $connexion = spip_connect($serveur);
+    $e = sql_errno($serveur);
+    $t = ($connexion['type'] ?? 'sql');
+    $m = "Erreur $e de $t: " . sql_error($serveur) . "\nin " . sql_error_backtrace() . "\n" . trim($connexion['last']);
+    $f = $t . $serveur;
+    spip_log($m, $f . '.' . _LOG_ERREUR);
 }
 
 /**
@@ -189,23 +189,23 @@ 
  *     - array : description de la connexion, si l'instruction sql est indisponible pour cette connexion
  **/
 function spip_connect_sql($version, $ins = '', $serveur = '', $continue = false) {
-	$desc = spip_connect($serveur, $version);
-	if (
-		$desc 
-		and $f = ($desc[$version][$ins] ?? '')
-		and function_exists($f)
-	 ) {
-		return $f;
-	}
-	if ($continue) {
-		return $desc;
-	}
-	if ($ins) {
-		spip_log("Le serveur '$serveur' version $version n'a pas '$ins'", _LOG_ERREUR);
-	}
-	include_spip('inc/minipres');
-	echo minipres(_T('info_travaux_titre'), _T('titre_probleme_technique'), ['status' => 503]);
-	exit;
+    $desc = spip_connect($serveur, $version);
+    if (
+        $desc 
+        and $f = ($desc[$version][$ins] ?? '')
+        and function_exists($f)
+        ) {
+        return $f;
+    }
+    if ($continue) {
+        return $desc;
+    }
+    if ($ins) {
+        spip_log("Le serveur '$serveur' version $version n'a pas '$ins'", _LOG_ERREUR);
+    }
+    include_spip('inc/minipres');
+    echo minipres(_T('info_travaux_titre'), _T('titre_probleme_technique'), ['status' => 503]);
+    exit;
 }
 
 /**
@@ -231,69 +231,69 @@ 
  * @return array          Description de la connexion
  */
 function spip_connect_db(
-	$host,
-	$port,
-	$login,
-	$pass,
-	$db = '',
-	$type = 'mysql',
-	$prefixe = '',
-	$auth = '',
-	$charset = ''
+    $host,
+    $port,
+    $login,
+    $pass,
+    $db = '',
+    $type = 'mysql',
+    $prefixe = '',
+    $auth = '',
+    $charset = ''
 ) {
-	// temps avant nouvelle tentative de connexion
-	// suite a une connection echouee
-	if (!defined('_CONNECT_RETRY_DELAY')) {
-		define('_CONNECT_RETRY_DELAY', 30);
-	}
-
-	$f = '';
-	// un fichier de identifiant par combinaison (type,host,port,db)
-	// pour ne pas declarer tout indisponible d'un coup
-	// si en cours d'installation ou si db=@test@ on ne pose rien
-	// car c'est un test de connexion
-	if (!defined('_ECRIRE_INSTALL') and $db !== '@test@') {
-		$f = _DIR_TMP . $type . '.' . substr(md5($host . $port . $db), 0, 8) . '.out';
-	} elseif ($db == '@test@') {
-		$db = '';
-	}
-
-	if (
-		$f
-		and @file_exists($f)
-		and (time() - @filemtime($f) < _CONNECT_RETRY_DELAY)
-	) {
-		spip_log("Echec : $f recent. Pas de tentative de connexion", _LOG_HS);
-
-		return;
-	}
-
-	if (!$prefixe) {
-		$prefixe = $GLOBALS['table_prefix'] ?? $db;
-	}
-	$h = charger_fonction($type, 'req', true);
-	if (!$h) {
-		spip_log("les requetes $type ne sont pas fournies", _LOG_HS);
-
-		return;
-	}
-	if ($g = $h($host, $port, $login, $pass, $db, $prefixe)) {
-		if (!is_array($auth)) {
-			// compatibilite version 0.7 initiale
-			$g['ldap'] = $auth;
-			$auth = ['ldap' => $auth];
-		}
-		$g['authentification'] = $auth;
-		$g['type'] = $type;
-		$g['charset'] = $charset;
-
-		return $GLOBALS['db_ok'] = $g;
-	}
-	// En cas d'indisponibilite du serveur, eviter de le bombarder
-	if ($f) {
-		@touch($f);
-		spip_log("Echec connexion serveur $type : host[$host] port[$port] login[$login] base[$db]", $type . '.' . _LOG_HS);
-	}
+    // temps avant nouvelle tentative de connexion
+    // suite a une connection echouee
+    if (!defined('_CONNECT_RETRY_DELAY')) {
+        define('_CONNECT_RETRY_DELAY', 30);
+    }
+
+    $f = '';
+    // un fichier de identifiant par combinaison (type,host,port,db)
+    // pour ne pas declarer tout indisponible d'un coup
+    // si en cours d'installation ou si db=@test@ on ne pose rien
+    // car c'est un test de connexion
+    if (!defined('_ECRIRE_INSTALL') and $db !== '@test@') {
+        $f = _DIR_TMP . $type . '.' . substr(md5($host . $port . $db), 0, 8) . '.out';
+    } elseif ($db == '@test@') {
+        $db = '';
+    }
+
+    if (
+        $f
+        and @file_exists($f)
+        and (time() - @filemtime($f) < _CONNECT_RETRY_DELAY)
+    ) {
+        spip_log("Echec : $f recent. Pas de tentative de connexion", _LOG_HS);
+
+        return;
+    }
+
+    if (!$prefixe) {
+        $prefixe = $GLOBALS['table_prefix'] ?? $db;
+    }
+    $h = charger_fonction($type, 'req', true);
+    if (!$h) {
+        spip_log("les requetes $type ne sont pas fournies", _LOG_HS);
+
+        return;
+    }
+    if ($g = $h($host, $port, $login, $pass, $db, $prefixe)) {
+        if (!is_array($auth)) {
+            // compatibilite version 0.7 initiale
+            $g['ldap'] = $auth;
+            $auth = ['ldap' => $auth];
+        }
+        $g['authentification'] = $auth;
+        $g['type'] = $type;
+        $g['charset'] = $charset;
+
+        return $GLOBALS['db_ok'] = $g;
+    }
+    // En cas d'indisponibilite du serveur, eviter de le bombarder
+    if ($f) {
+        @touch($f);
+        spip_log("Echec connexion serveur $type : host[$host] port[$port] login[$login] base[$db]", $type . '.' . _LOG_HS);
+    }
 }
 
 
@@ -325,32 +325,32 @@ 
  *     - nom du charset sinon
  **/
 function spip_connect_main($connexion, $charset_sql_connexion = '') {
-	if ($GLOBALS['spip_connect_version'] < 0.1 and _DIR_RESTREINT) {
-		include_spip('inc/headers');
-		redirige_url_ecrire('upgrade', 'reinstall=oui');
-	}
-
-	if (!($f = $connexion['select'])) {
-		return false;
-	}
-	// si le charset est fourni, l'utiliser
-	if ($charset_sql_connexion) {
-		return $charset_sql_connexion;
-	}
-	// sinon on regarde la table spip_meta
-	// en cas d'erreur select retourne la requette (is_string=true donc)
-	if (
-		!$r = $f('valeur', 'spip_meta', "nom='charset_sql_connexion'")
-		or is_string($r)
-	) {
-		return false;
-	}
-	if (!($f = $connexion['fetch'])) {
-		return false;
-	}
-	$r = $f($r);
-
-	return (isset($r['valeur']) && $r['valeur']) ? $r['valeur'] : -1;
+    if ($GLOBALS['spip_connect_version'] < 0.1 and _DIR_RESTREINT) {
+        include_spip('inc/headers');
+        redirige_url_ecrire('upgrade', 'reinstall=oui');
+    }
+
+    if (!($f = $connexion['select'])) {
+        return false;
+    }
+    // si le charset est fourni, l'utiliser
+    if ($charset_sql_connexion) {
+        return $charset_sql_connexion;
+    }
+    // sinon on regarde la table spip_meta
+    // en cas d'erreur select retourne la requette (is_string=true donc)
+    if (
+        !$r = $f('valeur', 'spip_meta', "nom='charset_sql_connexion'")
+        or is_string($r)
+    ) {
+        return false;
+    }
+    if (!($f = $connexion['fetch'])) {
+        return false;
+    }
+    $r = $f($r);
+
+    return (isset($r['valeur']) && $r['valeur']) ? $r['valeur'] : -1;
 }
 
 /**
@@ -366,9 +366,9 @@ 
  * @return array
  */
 function spip_connect_ldap($serveur = '') {
-	include_spip('auth/ldap');
+    include_spip('auth/ldap');
 
-	return auth_ldap_connect($serveur);
+    return auth_ldap_connect($serveur);
 }
 
 /**
@@ -384,16 +384,16 @@ 
  * @return string Valeur échappée.
  **/
 function _q($a): string {
-	if (is_numeric($a)) {
-		return strval($a);
-	} elseif (is_array($a)) {
-		return join(',', array_map('_q', $a));
-	} elseif (is_scalar($a)) {
-		return ("'" . addslashes($a) . "'");
-	} elseif ($a === null) {
-		return "''";
-	}
-	throw new \RuntimeException("Can’t use _q with " . gettype($a));
+    if (is_numeric($a)) {
+        return strval($a);
+    } elseif (is_array($a)) {
+        return join(',', array_map('_q', $a));
+    } elseif (is_scalar($a)) {
+        return ("'" . addslashes($a) . "'");
+    } elseif ($a === null) {
+        return "''";
+    }
+    throw new \RuntimeException("Can’t use _q with " . gettype($a));
 }
 
 /**
@@ -409,73 +409,73 @@ 
  * @return array
  */
 function query_echappe_textes($query, $uniqid = null) {
-	static $codeEchappements = null;
-	if (is_null($codeEchappements) or $uniqid) {
-		if (is_null($uniqid)) {
-			$uniqid = uniqid();
-		}
-		$uniqid = substr(md5($uniqid), 0, 4);
-		$codeEchappements = ['\\\\' => "\x1@#{$uniqid}#@\x1", "\\'" => "\x2@#{$uniqid}#@\x2", '\\"' => "\x3@#{$uniqid}#@\x3", '%' => "\x4@#{$uniqid}#@\x4"];
-	}
-	if ($query === null) {
-		return $codeEchappements;
-	}
-
-	// si la query contient deja des codes d'echappement on va s'emmeler les pinceaux et donc on ne touche a rien
-	// ce n'est pas un cas legitime
-	foreach ($codeEchappements as $codeEchappement) {
-		if (strpos($query, (string) $codeEchappement) !== false) {
-			return [$query, []];
-		}
-	}
-
-	$query_echappees = str_replace(array_keys($codeEchappements), array_values($codeEchappements), $query);
-	if (preg_match_all("/('[^']*')|(\"[^\"]*\")/S", $query_echappees, $textes)) {
-		$textes = reset($textes);
-
-		$parts = [];
-		$currentpos = 0;
-		$k = 0;
-		while(count($textes)) {
-			$part = array_shift($textes);
-			$nextpos = strpos($query_echappees, $part, $currentpos);
-			// si besoin recoller ensemble les doubles '' de sqlite (echappement des ')
-			while (count($textes) and substr($part, -1) === "'") {
-				$next = reset($textes);
-				if (strpos($next, "'") === 0
-				  and strpos($query_echappees, $part . $next, $currentpos) === $nextpos) {
-					$part .= array_shift($textes);
-				}
-				else {
-					break;
-				}
-			}
-			$k++;
-			$parts[$k] = [
-				'texte' => $part,
-				'position' => $nextpos,
-				'placeholder' => '%'.$k.'$s',
-			];
-			$currentpos = $nextpos + strlen($part);
-		}
-
-		// et on replace les parts une par une en commencant par la fin
-		while ($k>0) {
-			$query_echappees = substr_replace($query_echappees, $parts[$k]['placeholder'], $parts[$k]['position'], strlen($parts[$k]['texte']));
-			$k--;
-		}
-		$textes = array_column($parts, 'texte');
-	} else {
-		$textes = [];
-	}
-
-	// si il reste des quotes simples ou doubles, c'est qu'on s'est emmelle les pinceaux
-	// dans le doute on ne touche a rien
-	if (strpbrk($query_echappees, "'\"") !== false) {
-		return [$query, []];
-	}
-
-	return [$query_echappees, $textes];
+    static $codeEchappements = null;
+    if (is_null($codeEchappements) or $uniqid) {
+        if (is_null($uniqid)) {
+            $uniqid = uniqid();
+        }
+        $uniqid = substr(md5($uniqid), 0, 4);
+        $codeEchappements = ['\\\\' => "\x1@#{$uniqid}#@\x1", "\\'" => "\x2@#{$uniqid}#@\x2", '\\"' => "\x3@#{$uniqid}#@\x3", '%' => "\x4@#{$uniqid}#@\x4"];
+    }
+    if ($query === null) {
+        return $codeEchappements;
+    }
+
+    // si la query contient deja des codes d'echappement on va s'emmeler les pinceaux et donc on ne touche a rien
+    // ce n'est pas un cas legitime
+    foreach ($codeEchappements as $codeEchappement) {
+        if (strpos($query, (string) $codeEchappement) !== false) {
+            return [$query, []];
+        }
+    }
+
+    $query_echappees = str_replace(array_keys($codeEchappements), array_values($codeEchappements), $query);
+    if (preg_match_all("/('[^']*')|(\"[^\"]*\")/S", $query_echappees, $textes)) {
+        $textes = reset($textes);
+
+        $parts = [];
+        $currentpos = 0;
+        $k = 0;
+        while(count($textes)) {
+            $part = array_shift($textes);
+            $nextpos = strpos($query_echappees, $part, $currentpos);
+            // si besoin recoller ensemble les doubles '' de sqlite (echappement des ')
+            while (count($textes) and substr($part, -1) === "'") {
+                $next = reset($textes);
+                if (strpos($next, "'") === 0
+                  and strpos($query_echappees, $part . $next, $currentpos) === $nextpos) {
+                    $part .= array_shift($textes);
+                }
+                else {
+                    break;
+                }
+            }
+            $k++;
+            $parts[$k] = [
+                'texte' => $part,
+                'position' => $nextpos,
+                'placeholder' => '%'.$k.'$s',
+            ];
+            $currentpos = $nextpos + strlen($part);
+        }
+
+        // et on replace les parts une par une en commencant par la fin
+        while ($k>0) {
+            $query_echappees = substr_replace($query_echappees, $parts[$k]['placeholder'], $parts[$k]['position'], strlen($parts[$k]['texte']));
+            $k--;
+        }
+        $textes = array_column($parts, 'texte');
+    } else {
+        $textes = [];
+    }
+
+    // si il reste des quotes simples ou doubles, c'est qu'on s'est emmelle les pinceaux
+    // dans le doute on ne touche a rien
+    if (strpbrk($query_echappees, "'\"") !== false) {
+        return [$query, []];
+    }
+
+    return [$query_echappees, $textes];
 }
 
 /**
@@ -489,16 +489,16 @@ 
  * @return string
  */
 function query_reinjecte_textes($query, $textes) {
-	// recuperer les codes echappements
-	$codeEchappements = query_echappe_textes(null);
+    // recuperer les codes echappements
+    $codeEchappements = query_echappe_textes(null);
 
-	if (!empty($textes)) {
-		$query = sprintf($query, ...$textes);
-	}
+    if (!empty($textes)) {
+        $query = sprintf($query, ...$textes);
+    }
 
-	$query = str_replace(array_values($codeEchappements), array_keys($codeEchappements), $query);
+    $query = str_replace(array_values($codeEchappements), array_keys($codeEchappements), $query);
 
-	return $query;
+    return $query;
 }
 
 
@@ -517,7 +517,7 @@ 
  **/
 function spip_query($query, $serveur = '') {
 
-	$f = spip_connect_sql($GLOBALS['spip_sql_version'], 'query', $serveur, true);
+    $f = spip_connect_sql($GLOBALS['spip_sql_version'], 'query', $serveur, true);
 
-	return function_exists($f) ? $f($query, $serveur) : false;
+    return function_exists($f) ? $f($query, $serveur) : false;
 }