spip / SPIP

ecrire/inc/modeles.php

Indentation +180 added lines, -180 removed lines

@@ -11,7 +11,7 @@ 
 \***************************************************************************/
 
 if (!defined('_ECRIRE_INC_VERSION')) {
-	return;
+    return;
 }
 
 // traite les modeles (dans la fonction typo), en remplacant
@@ -22,17 +22,17 @@ 
 // mais on renvoie les params (pour l'indexation par le moteur de recherche)
 
 define(
-	'_PREG_MODELE',
-	'(<([a-z_-]{3,})' # <modele
-	. '\s*([0-9]*)\s*' # id
-	. '([|](?:<[^<>]*>|[^>])*?)?' # |arguments (y compris des tags <...>)
-	. '\s*/?' . '>)' # fin du modele >
+    '_PREG_MODELE',
+    '(<([a-z_-]{3,})' # <modele
+    . '\s*([0-9]*)\s*' # id
+    . '([|](?:<[^<>]*>|[^>])*?)?' # |arguments (y compris des tags <...>)
+    . '\s*/?' . '>)' # fin du modele >
 );
 
 define(
-	'_RACCOURCI_MODELE',
-	_PREG_MODELE
-	. '\s*(<\/a>)?' # eventuel </a>
+    '_RACCOURCI_MODELE',
+    _PREG_MODELE
+    . '\s*(<\/a>)?' # eventuel </a>
 );
 
 define('_RACCOURCI_MODELE_DEBUT', '@^' . _RACCOURCI_MODELE . '@isS');
@@ -46,63 +46,63 @@ 
  */
 function modeles_collecter($texte, bool $collecter_liens = true) {
 
-	$modeles = [];
-	// detecter les modeles (rapide)
-	if (
-		strpos($texte, '<') !== false
-		and preg_match_all('/<[a-z_-]{3,}\s*[0-9|]+/iS', $texte, $matches, PREG_SET_ORDER)
-	) {
-		$pos = 0;
-		// Recuperer l'appel complet (y compris un eventuel lien)
-		foreach ($matches as $match) {
-			$a = strpos($texte, (string)$match[0], $pos);
-
-			if (preg_match(_RACCOURCI_MODELE_DEBUT, substr($texte, $a), $regs)) {
-				// s'assurer qu'il y a toujours un 5e arg, eventuellement vide
-				while (count($regs) < 6) {
-					$regs[] = '';
-				}
-
-				[, $mod, $type, $id, $params, $fermeture_lien] = $regs;
-
-				if (
-					$collecter_liens
-					and $fermeture_lien
-					and $before = substr($texte, $pos, $a - $pos)
-					and stripos($before, '<a') !== false
-					and preg_match('/<a\s[^<>]*>\s*$/i', $before, $r)
-				) {
-					$lien = [
-						'href' => extraire_attribut($r[0], 'href'),
-						'class' => extraire_attribut($r[0], 'class'),
-						'mime' => extraire_attribut($r[0], 'type'),
-						'title' => extraire_attribut($r[0], 'title'),
-						'hreflang' => extraire_attribut($r[0], 'hreflang')
-					];
-					$n = strlen($r[0]);
-					$a -= $n;
-					$longueur = $n + strlen($regs[0]);
-				} else {
-					$lien = false;
-					$longueur = strlen($mod);
-				}
-
-				$modele = [
-					'modele' => $mod,
-					'pos' => $a,
-					'length' => $longueur,
-					'type' => $type,
-					'id' => $id,
-					'params' => $params,
-					'lien' => $lien,
-				];
-
-				$modeles[] = $modele;
-			}
-			$pos = $a + strlen((string)$match[0]);
-		}
-	}
-	return $modeles;
+    $modeles = [];
+    // detecter les modeles (rapide)
+    if (
+        strpos($texte, '<') !== false
+        and preg_match_all('/<[a-z_-]{3,}\s*[0-9|]+/iS', $texte, $matches, PREG_SET_ORDER)
+    ) {
+        $pos = 0;
+        // Recuperer l'appel complet (y compris un eventuel lien)
+        foreach ($matches as $match) {
+            $a = strpos($texte, (string)$match[0], $pos);
+
+            if (preg_match(_RACCOURCI_MODELE_DEBUT, substr($texte, $a), $regs)) {
+                // s'assurer qu'il y a toujours un 5e arg, eventuellement vide
+                while (count($regs) < 6) {
+                    $regs[] = '';
+                }
+
+                [, $mod, $type, $id, $params, $fermeture_lien] = $regs;
+
+                if (
+                    $collecter_liens
+                    and $fermeture_lien
+                    and $before = substr($texte, $pos, $a - $pos)
+                    and stripos($before, '<a') !== false
+                    and preg_match('/<a\s[^<>]*>\s*$/i', $before, $r)
+                ) {
+                    $lien = [
+                        'href' => extraire_attribut($r[0], 'href'),
+                        'class' => extraire_attribut($r[0], 'class'),
+                        'mime' => extraire_attribut($r[0], 'type'),
+                        'title' => extraire_attribut($r[0], 'title'),
+                        'hreflang' => extraire_attribut($r[0], 'hreflang')
+                    ];
+                    $n = strlen($r[0]);
+                    $a -= $n;
+                    $longueur = $n + strlen($regs[0]);
+                } else {
+                    $lien = false;
+                    $longueur = strlen($mod);
+                }
+
+                $modele = [
+                    'modele' => $mod,
+                    'pos' => $a,
+                    'length' => $longueur,
+                    'type' => $type,
+                    'id' => $id,
+                    'params' => $params,
+                    'lien' => $lien,
+                ];
+
+                $modeles[] = $modele;
+            }
+            $pos = $a + strlen((string)$match[0]);
+        }
+    }
+    return $modeles;
 }
 
 /**
@@ -116,24 +116,24 @@ 
  */
 function modeles_echapper_raccourcis($texte, bool $collecter_liens = false) {
 
-	$modeles = modeles_collecter($texte, $collecter_liens);
-	$markid = '';
-	if (!empty($modeles)) {
-		// generer un marqueur qui n'est pas dans le texte
-		do {
-			$markid = substr(md5(creer_uniqid()), 0, 7);
-			$markid = "@|MODELE$markid|";
-		} while (strpos($texte, $markid) !== false);
-
-		$offset_pos = 0;
-		foreach ($modeles as $m) {
-			$rempl = $markid . base64_encode($m['modele']) . '|@';
-			$texte = substr_replace($texte, $rempl, $m['pos'] + $offset_pos, $m['length']);
-			$offset_pos += strlen($rempl) - $m['length'];
-		}
-	}
-
-	return [$texte, $markid];
+    $modeles = modeles_collecter($texte, $collecter_liens);
+    $markid = '';
+    if (!empty($modeles)) {
+        // generer un marqueur qui n'est pas dans le texte
+        do {
+            $markid = substr(md5(creer_uniqid()), 0, 7);
+            $markid = "@|MODELE$markid|";
+        } while (strpos($texte, $markid) !== false);
+
+        $offset_pos = 0;
+        foreach ($modeles as $m) {
+            $rempl = $markid . base64_encode($m['modele']) . '|@';
+            $texte = substr_replace($texte, $rempl, $m['pos'] + $offset_pos, $m['length']);
+            $offset_pos += strlen($rempl) - $m['length'];
+        }
+    }
+
+    return [$texte, $markid];
 }
 
 /**
@@ -146,24 +146,24 @@ 
  */
 function modele_retablir_raccourcis_echappes(string $texte, string $markid) {
 
-	if ($markid) {
-		$pos = 0;
-		while (
-			($p = strpos($texte, $markid, $pos)) !== false
-			and $end = strpos($texte, '|@', $p + 16)
-		) {
-			$base64 = substr($texte, $p + 16, $end - ($p + 16));
-			if ($modele = base64_decode($base64, true)) {
-				$texte = substr_replace($texte, $modele, $p, $end + 2 - $p);
-				$pos = $p + strlen($modele);
-			}
-			else {
-				$pos = $end;
-			}
-		}
-	}
-
-	return $texte;
+    if ($markid) {
+        $pos = 0;
+        while (
+            ($p = strpos($texte, $markid, $pos)) !== false
+            and $end = strpos($texte, '|@', $p + 16)
+        ) {
+            $base64 = substr($texte, $p + 16, $end - ($p + 16));
+            if ($modele = base64_decode($base64, true)) {
+                $texte = substr_replace($texte, $modele, $p, $end + 2 - $p);
+                $pos = $p + strlen($modele);
+            }
+            else {
+                $pos = $end;
+            }
+        }
+    }
+
+    return $texte;
 }
 
 
@@ -178,82 +178,82 @@ 
  * @return string
  */
 function traiter_modeles($texte, $doublons = false, $echap = '', string $connect = '', $liens = null, $env = []) {
-	// preserver la compatibilite : true = recherche des documents
-	if ($doublons === true) {
-		$doublons = ['documents' => ['doc', 'emb', 'img']];
-	}
-
-	$modeles = modeles_collecter($texte, true);
-	if (!empty($modeles)) {
-		include_spip('public/assembler');
-		$wrap_embed_html = charger_fonction('wrap_embed_html', 'inc', true);
-
-		$offset_pos = 0;
-		foreach ($modeles as $m) {
-			// calculer le modele
-			# hack indexation
-			if ($doublons) {
-				$texte .= preg_replace(',[|][^|=]*,s', ' ', $m['params']);
-			} # version normale
-			else {
-				// si un tableau de liens a ete passe, reinjecter le contenu d'origine
-				// dans les parametres, plutot que les liens echappes
-				$params = $m['params'];
-				if (!is_null($liens)) {
-					$params = str_replace($liens[0], $liens[1], $params);
-				}
-
-				$modele = inclure_modele($m['type'], $m['id'], $params, $m['lien'], $connect ?? '', $env);
-
-				// en cas d'echec,
-				// si l'objet demande a une url,
-				// creer un petit encadre vers elle
-				if ($modele === false) {
-					$modele = $m['modele'];
-
-					if (!is_null($liens)) {
-						$modele = str_replace($liens[0], $liens[1], $modele);
-					}
-
-					$contexte = array_merge($env, ['id' => $m['id'], 'type' => $m['type'], 'modele' => $modele]);
-
-					if (!empty($m['lien'])) {
-						# un eventuel guillemet (") sera reechappe par #ENV
-						$contexte['lien'] = str_replace('&quot;', '"', $m['lien']['href']);
-						$contexte['lien_class'] = $m['lien']['class'];
-						$contexte['lien_mime'] = $m['lien']['mime'];
-						$contexte['lien_title'] = $m['lien']['title'];
-						$contexte['lien_hreflang'] = $m['lien']['hreflang'];
-					}
-
-					$modele = recuperer_fond('modeles/dist', $contexte, [], $connect ?? '');
-				}
-
-				// le remplacer dans le texte
-				if ($modele !== false) {
-					$modele = protege_js_modeles($modele);
-
-					if ($wrap_embed_html) {
-						$modele = $wrap_embed_html($m['modele'], $modele);
-					}
-
-					$rempl = code_echappement($modele, $echap);
-					$texte = substr_replace($texte, $rempl, $m['pos'] + $offset_pos, $m['length']);
-					$offset_pos += strlen($rempl) - $m['length'];
-				}
-			}
-
-			// hack pour tout l'espace prive
-			if ((test_espace_prive() or ($doublons)) and !empty($m['id'])) {
-				$type = strtolower($m['type']);
-				foreach ($doublons ?: ['documents' => ['doc', 'emb', 'img']] as $quoi => $type_modeles) {
-					if (in_array($type, $modeles)) {
-						$GLOBALS["doublons_{$quoi}_inclus"][] = $m['id'];
-					}
-				}
-			}
-		}
-	}
-
-	return $texte;
+    // preserver la compatibilite : true = recherche des documents
+    if ($doublons === true) {
+        $doublons = ['documents' => ['doc', 'emb', 'img']];
+    }
+
+    $modeles = modeles_collecter($texte, true);
+    if (!empty($modeles)) {
+        include_spip('public/assembler');
+        $wrap_embed_html = charger_fonction('wrap_embed_html', 'inc', true);
+
+        $offset_pos = 0;
+        foreach ($modeles as $m) {
+            // calculer le modele
+            # hack indexation
+            if ($doublons) {
+                $texte .= preg_replace(',[|][^|=]*,s', ' ', $m['params']);
+            } # version normale
+            else {
+                // si un tableau de liens a ete passe, reinjecter le contenu d'origine
+                // dans les parametres, plutot que les liens echappes
+                $params = $m['params'];
+                if (!is_null($liens)) {
+                    $params = str_replace($liens[0], $liens[1], $params);
+                }
+
+                $modele = inclure_modele($m['type'], $m['id'], $params, $m['lien'], $connect ?? '', $env);
+
+                // en cas d'echec,
+                // si l'objet demande a une url,
+                // creer un petit encadre vers elle
+                if ($modele === false) {
+                    $modele = $m['modele'];
+
+                    if (!is_null($liens)) {
+                        $modele = str_replace($liens[0], $liens[1], $modele);
+                    }
+
+                    $contexte = array_merge($env, ['id' => $m['id'], 'type' => $m['type'], 'modele' => $modele]);
+
+                    if (!empty($m['lien'])) {
+                        # un eventuel guillemet (") sera reechappe par #ENV
+                        $contexte['lien'] = str_replace('&quot;', '"', $m['lien']['href']);
+                        $contexte['lien_class'] = $m['lien']['class'];
+                        $contexte['lien_mime'] = $m['lien']['mime'];
+                        $contexte['lien_title'] = $m['lien']['title'];
+                        $contexte['lien_hreflang'] = $m['lien']['hreflang'];
+                    }
+
+                    $modele = recuperer_fond('modeles/dist', $contexte, [], $connect ?? '');
+                }
+
+                // le remplacer dans le texte
+                if ($modele !== false) {
+                    $modele = protege_js_modeles($modele);
+
+                    if ($wrap_embed_html) {
+                        $modele = $wrap_embed_html($m['modele'], $modele);
+                    }
+
+                    $rempl = code_echappement($modele, $echap);
+                    $texte = substr_replace($texte, $rempl, $m['pos'] + $offset_pos, $m['length']);
+                    $offset_pos += strlen($rempl) - $m['length'];
+                }
+            }
+
+            // hack pour tout l'espace prive
+            if ((test_espace_prive() or ($doublons)) and !empty($m['id'])) {
+                $type = strtolower($m['type']);
+                foreach ($doublons ?: ['documents' => ['doc', 'emb', 'img']] as $quoi => $type_modeles) {
+                    if (in_array($type, $modeles)) {
+                        $GLOBALS["doublons_{$quoi}_inclus"][] = $m['id'];
+                    }
+                }
+            }
+        }
+    }
+
+    return $texte;
 }

ecrire/inc/texte_mini.php

Indentation +462 added lines, -462 removed lines

@@ -17,7 +17,7 @@ 
  **/
 
 if (!defined('_ECRIRE_INC_VERSION')) {
-	return;
+    return;
 }
 include_spip('inc/filtres');
 include_spip('inc/lang');
@@ -39,21 +39,21 @@ 
  **/
 function definir_puce() {
 
-	// Attention au sens, qui n'est pas defini de la meme facon dans
-	// l'espace prive (spip_lang est la langue de l'interface, lang_dir
-	// celle du texte) et public (spip_lang est la langue du texte)
-	$dir = _DIR_RESTREINT ? lang_dir() : lang_dir($GLOBALS['spip_lang']);
+    // Attention au sens, qui n'est pas defini de la meme facon dans
+    // l'espace prive (spip_lang est la langue de l'interface, lang_dir
+    // celle du texte) et public (spip_lang est la langue du texte)
+    $dir = _DIR_RESTREINT ? lang_dir() : lang_dir($GLOBALS['spip_lang']);
 
-	$p = 'puce' . (test_espace_prive() ? '_prive' : '');
-	if ($dir == 'rtl') {
-		$p .= '_rtl';
-	}
+    $p = 'puce' . (test_espace_prive() ? '_prive' : '');
+    if ($dir == 'rtl') {
+        $p .= '_rtl';
+    }
 
-	if (!isset($GLOBALS[$p])) {
-		$GLOBALS[$p] = '<span class="spip-puce ' . $dir . '"><b>–</b></span>';
-	}
+    if (!isset($GLOBALS[$p])) {
+        $GLOBALS[$p] = '<span class="spip-puce ' . $dir . '"><b>–</b></span>';
+    }
 
-	return $GLOBALS[$p];
+    return $GLOBALS[$p];
 }
 
 
@@ -61,14 +61,14 @@ 
 // dont on souhaite qu'ils provoquent un saut de paragraphe
 
 if (!defined('_BALISES_BLOCS')) {
-	define(
-		'_BALISES_BLOCS',
-		'address|applet|article|aside|blockquote|button|center|d[ltd]|div|fieldset|fig(ure|caption)|footer|form|h[1-6r]|hgroup|head|header|iframe|li|map|marquee|nav|noscript|object|ol|pre|section|t(able|[rdh]|body|foot|extarea)|ul|script|style'
-	);
+    define(
+        '_BALISES_BLOCS',
+        'address|applet|article|aside|blockquote|button|center|d[ltd]|div|fieldset|fig(ure|caption)|footer|form|h[1-6r]|hgroup|head|header|iframe|li|map|marquee|nav|noscript|object|ol|pre|section|t(able|[rdh]|body|foot|extarea)|ul|script|style'
+    );
 }
 
 if (!defined('_BALISES_BLOCS_REGEXP')) {
-	define('_BALISES_BLOCS_REGEXP', ',</?(' . _BALISES_BLOCS . ')[>[:space:]],iS');
+    define('_BALISES_BLOCS_REGEXP', ',</?(' . _BALISES_BLOCS . ')[>[:space:]],iS');
 }
 
 //
@@ -79,106 +79,106 @@ 
 // une $source differente ; le script detecte automagiquement si ce qu'on
 // echappe est un div ou un span
 function code_echappement($rempl, $source = '', $no_transform = false, $mode = null) {
-	if (!strlen($rempl)) {
-		return '';
-	}
-
-	// Tester si on echappe en span ou en div
-	if (is_null($mode) or !in_array($mode, ['div', 'span'])) {
-		$mode = preg_match(',</?(' . _BALISES_BLOCS . ')[>[:space:]],iS', $rempl) ? 'div' : 'span';
-	}
-
-	// Decouper en morceaux, base64 a des probleme selon la taille de la pile
-	$taille = 30000;
-	$return = '';
-	for ($i = 0; $i < strlen($rempl); $i += $taille) {
-		// Convertir en base64 et cacher dans un attribut
-		// utiliser les " pour eviter le re-encodage de ' et &#8217
-		$base64 = base64_encode(substr($rempl, $i, $taille));
-		$return .= "<$mode class=\"base64$source\" title=\"$base64\"></$mode>";
-	}
-
-	return $return;
+    if (!strlen($rempl)) {
+        return '';
+    }
+
+    // Tester si on echappe en span ou en div
+    if (is_null($mode) or !in_array($mode, ['div', 'span'])) {
+        $mode = preg_match(',</?(' . _BALISES_BLOCS . ')[>[:space:]],iS', $rempl) ? 'div' : 'span';
+    }
+
+    // Decouper en morceaux, base64 a des probleme selon la taille de la pile
+    $taille = 30000;
+    $return = '';
+    for ($i = 0; $i < strlen($rempl); $i += $taille) {
+        // Convertir en base64 et cacher dans un attribut
+        // utiliser les " pour eviter le re-encodage de ' et &#8217
+        $base64 = base64_encode(substr($rempl, $i, $taille));
+        $return .= "<$mode class=\"base64$source\" title=\"$base64\"></$mode>";
+    }
+
+    return $return;
 }
 
 
 // Echapper les <html>...</ html>
 function traiter_echap_html_dist($regs, $options = []) {
-	return $regs[3];
+    return $regs[3];
 }
 
 // Echapper les <pre>...</ pre>
 function traiter_echap_pre_dist($regs, $options = []) {
-	// echapper les <code> dans <pre>
-	$pre = $regs[3];
-
-	// echapper les < dans <code>
-	// on utilise _PROTEGE_BLOCS pour simplifier le code et la maintenance, mais on est interesse que par <code>
-	if (
-		strpos($pre, '<') !== false
-		and preg_match_all(_PROTEGE_BLOCS, $pre, $matches, PREG_SET_ORDER)
-	) {
-		foreach ($matches as $m) {
-			if ($m[1] === 'code') {
-				$code = '<code' . $m[2] . '>' . spip_htmlspecialchars($m[3]) . '</code>';
-				$pre = str_replace($m[0], $code, $pre);
-			}
-		}
-	}
-	return "<pre>$pre</pre>";
+    // echapper les <code> dans <pre>
+    $pre = $regs[3];
+
+    // echapper les < dans <code>
+    // on utilise _PROTEGE_BLOCS pour simplifier le code et la maintenance, mais on est interesse que par <code>
+    if (
+        strpos($pre, '<') !== false
+        and preg_match_all(_PROTEGE_BLOCS, $pre, $matches, PREG_SET_ORDER)
+    ) {
+        foreach ($matches as $m) {
+            if ($m[1] === 'code') {
+                $code = '<code' . $m[2] . '>' . spip_htmlspecialchars($m[3]) . '</code>';
+                $pre = str_replace($m[0], $code, $pre);
+            }
+        }
+    }
+    return "<pre>$pre</pre>";
 }
 
 // Echapper les <code>...</ code>
 function traiter_echap_code_dist($regs, $options = []) {
-	[, , $att, $corps] = $regs;
-	$echap = spip_htmlspecialchars($corps); // il ne faut pas passer dans entites_html, ne pas transformer les &#xxx; du code !
-
-	// ne pas mettre le <div...> s'il n'y a qu'une ligne
-	if (is_int(strpos($echap, "\n"))) {
-		// supprimer les sauts de ligne debut/fin
-		// (mais pas les espaces => ascii art).
-		$echap = preg_replace("/^[\n\r]+|[\n\r]+$/s", '', $echap);
-		$echap = nl2br($echap);
-		$echap = "<div style='text-align: left;' "
-			. "class='spip_code' dir='ltr'><code$att>"
-			. $echap . '</code></div>';
-	} else {
-		$echap = "<code$att class='spip_code' dir='ltr'>" . $echap . '</code>';
-	}
-
-	$echap = str_replace("\t", '&nbsp; &nbsp; &nbsp; &nbsp; ', $echap);
-	$echap = str_replace('  ', ' &nbsp;', $echap);
-
-	return $echap;
+    [, , $att, $corps] = $regs;
+    $echap = spip_htmlspecialchars($corps); // il ne faut pas passer dans entites_html, ne pas transformer les &#xxx; du code !
+
+    // ne pas mettre le <div...> s'il n'y a qu'une ligne
+    if (is_int(strpos($echap, "\n"))) {
+        // supprimer les sauts de ligne debut/fin
+        // (mais pas les espaces => ascii art).
+        $echap = preg_replace("/^[\n\r]+|[\n\r]+$/s", '', $echap);
+        $echap = nl2br($echap);
+        $echap = "<div style='text-align: left;' "
+            . "class='spip_code' dir='ltr'><code$att>"
+            . $echap . '</code></div>';
+    } else {
+        $echap = "<code$att class='spip_code' dir='ltr'>" . $echap . '</code>';
+    }
+
+    $echap = str_replace("\t", '&nbsp; &nbsp; &nbsp; &nbsp; ', $echap);
+    $echap = str_replace('  ', ' &nbsp;', $echap);
+
+    return $echap;
 }
 
 // Echapper les <cadre>...</ cadre> aka <frame>...</ frame>
 function traiter_echap_cadre_dist($regs, $options = []) {
-	$echap = trim(entites_html($regs[3]));
-	// compter les lignes un peu plus finement qu'avec les \n
-	$lignes = explode("\n", trim($echap));
-	$n = 0;
-	foreach ($lignes as $l) {
-		$n += floor(strlen($l) / 60) + 1;
-	}
-	$n = max($n, 2);
-	$echap = "\n<textarea readonly='readonly' cols='40' rows='$n' class='spip_cadre' dir='ltr'>$echap</textarea>";
-
-	return $echap;
+    $echap = trim(entites_html($regs[3]));
+    // compter les lignes un peu plus finement qu'avec les \n
+    $lignes = explode("\n", trim($echap));
+    $n = 0;
+    foreach ($lignes as $l) {
+        $n += floor(strlen($l) / 60) + 1;
+    }
+    $n = max($n, 2);
+    $echap = "\n<textarea readonly='readonly' cols='40' rows='$n' class='spip_cadre' dir='ltr'>$echap</textarea>";
+
+    return $echap;
 }
 
 function traiter_echap_frame_dist($regs, $options = []) {
-	return traiter_echap_cadre_dist($regs);
+    return traiter_echap_cadre_dist($regs);
 }
 
 function traiter_echap_script_dist($regs, $options = []) {
-	// rendre joli (et inactif) si c'est un script language=php
-	if (preg_match(',<script\b[^>]+php,ims', $regs[0])) {
-		return highlight_string($regs[0], true);
-	}
+    // rendre joli (et inactif) si c'est un script language=php
+    if (preg_match(',<script\b[^>]+php,ims', $regs[0])) {
+        return highlight_string($regs[0], true);
+    }
 
-	// Cas normal : le script passe tel quel
-	return $regs[0];
+    // Cas normal : le script passe tel quel
+    return $regs[0];
 }
 
 define('_PROTEGE_BLOCS', ',<(html|pre|code|cadre|frame|script|style)(\b[^>]*)?>(.*)</\1>,UimsS');
@@ -197,73 +197,73 @@ 
  * @return string|string[]
  */
 function echappe_html(
-	$letexte,
-	$source = '',
-	$no_transform = false,
-	$preg = '',
-	$callback_prefix = '',
-	$callback_options = []
+    $letexte,
+    $source = '',
+    $no_transform = false,
+    $preg = '',
+    $callback_prefix = '',
+    $callback_options = []
 ) {
-	if (!is_string($letexte) or !strlen($letexte)) {
-		return $letexte;
-	}
-
-	if (
-		($preg or strpos($letexte, '<') !== false)
-		and preg_match_all($preg ?: _PROTEGE_BLOCS, $letexte, $matches, PREG_SET_ORDER)
-	) {
-		foreach ($matches as $regs) {
-			// echappements tels quels ?
-			if ($no_transform) {
-				$echap = $regs[0];
-			} // sinon les traiter selon le cas
-			else {
-				$callback_secure_prefix = ($callback_options['secure_prefix'] ?? '');
-				if (
-					function_exists($f = $callback_prefix . $callback_secure_prefix . 'traiter_echap_' . strtolower($regs[1]))
-					or function_exists($f = $f . '_dist')
-					or ($callback_secure_prefix and (
-						function_exists($f = $callback_prefix . 'traiter_echap_' . strtolower($regs[1]))
-						or function_exists($f = $f . '_dist')
-					))
-				) {
-					$echap = $f($regs, $callback_options);
-				}
-			}
-
-			$p = strpos($letexte, (string) $regs[0]);
-			$letexte = substr_replace($letexte, code_echappement($echap, $source, $no_transform), $p, strlen($regs[0]));
-		}
-	}
-
-	if ($no_transform) {
-		return $letexte;
-	}
-
-	// Echapper le php pour faire joli (ici, c'est pas pour la securite)
-	// seulement si on a echappe les <script>
-	// (derogatoire car on ne peut pas faire passer < ? ... ? >
-	// dans une callback autonommee
-	if (strpos($preg ?: _PROTEGE_BLOCS, 'script') !== false) {
-		if (
-			strpos($letexte, '<' . '?') !== false and preg_match_all(
-				',<[?].*($|[?]>),UisS',
-				$letexte,
-				$matches,
-				PREG_SET_ORDER
-			)
-		) {
-			foreach ($matches as $regs) {
-				$letexte = str_replace(
-					$regs[0],
-					code_echappement(highlight_string($regs[0], true), $source),
-					$letexte
-				);
-			}
-		}
-	}
-
-	return $letexte;
+    if (!is_string($letexte) or !strlen($letexte)) {
+        return $letexte;
+    }
+
+    if (
+        ($preg or strpos($letexte, '<') !== false)
+        and preg_match_all($preg ?: _PROTEGE_BLOCS, $letexte, $matches, PREG_SET_ORDER)
+    ) {
+        foreach ($matches as $regs) {
+            // echappements tels quels ?
+            if ($no_transform) {
+                $echap = $regs[0];
+            } // sinon les traiter selon le cas
+            else {
+                $callback_secure_prefix = ($callback_options['secure_prefix'] ?? '');
+                if (
+                    function_exists($f = $callback_prefix . $callback_secure_prefix . 'traiter_echap_' . strtolower($regs[1]))
+                    or function_exists($f = $f . '_dist')
+                    or ($callback_secure_prefix and (
+                        function_exists($f = $callback_prefix . 'traiter_echap_' . strtolower($regs[1]))
+                        or function_exists($f = $f . '_dist')
+                    ))
+                ) {
+                    $echap = $f($regs, $callback_options);
+                }
+            }
+
+            $p = strpos($letexte, (string) $regs[0]);
+            $letexte = substr_replace($letexte, code_echappement($echap, $source, $no_transform), $p, strlen($regs[0]));
+        }
+    }
+
+    if ($no_transform) {
+        return $letexte;
+    }
+
+    // Echapper le php pour faire joli (ici, c'est pas pour la securite)
+    // seulement si on a echappe les <script>
+    // (derogatoire car on ne peut pas faire passer < ? ... ? >
+    // dans une callback autonommee
+    if (strpos($preg ?: _PROTEGE_BLOCS, 'script') !== false) {
+        if (
+            strpos($letexte, '<' . '?') !== false and preg_match_all(
+                ',<[?].*($|[?]>),UisS',
+                $letexte,
+                $matches,
+                PREG_SET_ORDER
+            )
+        ) {
+            foreach ($matches as $regs) {
+                $letexte = str_replace(
+                    $regs[0],
+                    code_echappement(highlight_string($regs[0], true), $source),
+                    $letexte
+                );
+            }
+        }
+    }
+
+    return $letexte;
 }
 
 //
@@ -271,57 +271,57 @@ 
 // Rq: $source sert a faire des echappements "a soi" qui ne sont pas nettoyes
 // par propre() : exemple dans multi et dans typo()
 function echappe_retour($letexte, $source = '', $filtre = '') {
-	if (strpos($letexte, (string) "base64$source")) {
-		# spip_log(spip_htmlspecialchars($letexte));  ## pour les curieux
-		$max_prof = 5;
-		while (
-			strpos($letexte, '<') !== false
-			and
-			preg_match_all(
-				',<(span|div)\sclass=[\'"]base64' . $source . '[\'"]\s(.*)>\s*</\1>,UmsS',
-				$letexte,
-				$regs,
-				PREG_SET_ORDER
-			)
-			and $max_prof--
-		) {
-			foreach ($regs as $reg) {
-				$rempl = base64_decode(extraire_attribut($reg[0], 'title'));
-				// recherche d'attributs supplementaires
-				$at = [];
-				foreach (['lang', 'dir'] as $attr) {
-					if ($a = extraire_attribut($reg[0], $attr)) {
-						$at[$attr] = $a;
-					}
-				}
-				if ($at) {
-					$rempl = '<' . $reg[1] . '>' . $rempl . '</' . $reg[1] . '>';
-					foreach ($at as $attr => $a) {
-						$rempl = inserer_attribut($rempl, $attr, $a);
-					}
-				}
-				if ($filtre) {
-					$rempl = $filtre($rempl);
-				}
-				$letexte = str_replace($reg[0], $rempl, $letexte);
-			}
-		}
-	}
-
-	return $letexte;
+    if (strpos($letexte, (string) "base64$source")) {
+        # spip_log(spip_htmlspecialchars($letexte));  ## pour les curieux
+        $max_prof = 5;
+        while (
+            strpos($letexte, '<') !== false
+            and
+            preg_match_all(
+                ',<(span|div)\sclass=[\'"]base64' . $source . '[\'"]\s(.*)>\s*</\1>,UmsS',
+                $letexte,
+                $regs,
+                PREG_SET_ORDER
+            )
+            and $max_prof--
+        ) {
+            foreach ($regs as $reg) {
+                $rempl = base64_decode(extraire_attribut($reg[0], 'title'));
+                // recherche d'attributs supplementaires
+                $at = [];
+                foreach (['lang', 'dir'] as $attr) {
+                    if ($a = extraire_attribut($reg[0], $attr)) {
+                        $at[$attr] = $a;
+                    }
+                }
+                if ($at) {
+                    $rempl = '<' . $reg[1] . '>' . $rempl . '</' . $reg[1] . '>';
+                    foreach ($at as $attr => $a) {
+                        $rempl = inserer_attribut($rempl, $attr, $a);
+                    }
+                }
+                if ($filtre) {
+                    $rempl = $filtre($rempl);
+                }
+                $letexte = str_replace($reg[0], $rempl, $letexte);
+            }
+        }
+    }
+
+    return $letexte;
 }
 
 // Reinserer le javascript de confiance (venant des modeles)
 
 function echappe_retour_modeles($letexte, $interdire_scripts = false) {
-	$letexte = echappe_retour($letexte);
+    $letexte = echappe_retour($letexte);
 
-	// Dans les appels directs hors squelette, securiser aussi ici
-	if ($interdire_scripts) {
-		$letexte = interdire_scripts($letexte);
-	}
+    // Dans les appels directs hors squelette, securiser aussi ici
+    if ($interdire_scripts) {
+        $letexte = interdire_scripts($letexte);
+    }
 
-	return trim($letexte);
+    return trim($letexte);
 }
 
 
@@ -349,131 +349,131 @@ 
  *     Texte coupé
  **/
 function couper($texte, $taille = 50, $suite = null) {
-	if (!($length = strlen($texte)) or $taille <= 0) {
-		return '';
-	}
-	$offset = 400 + 2 * $taille;
-	while (
-		$offset < $length
-		and strlen(preg_replace(',<(!--|\w|/)[^>]+>,Uims', '', substr($texte, 0, $offset))) < $taille
-	) {
-		$offset = 2 * $offset;
-	}
-	if (
-		$offset < $length
-		&& ($p_tag_ouvrant = strpos($texte, '<', $offset)) !== null
-	) {
-		$p_tag_fermant = strpos($texte, '>', $offset);
-		if ($p_tag_fermant && ($p_tag_fermant < $p_tag_ouvrant)) {
-			$offset = $p_tag_fermant + 1;
-		} // prolonger la coupe jusqu'au tag fermant suivant eventuel
-	}
-	$texte = substr($texte, 0, $offset); /* eviter de travailler sur 10ko pour extraire 150 caracteres */
-
-	if (!function_exists('nettoyer_raccourcis_typo')) {
-		include_spip('inc/lien');
-	}
-	$texte = nettoyer_raccourcis_typo($texte);
-
-	// balises de sauts de ligne et paragraphe
-	$texte = preg_replace('/<p( [^>]*)?' . '>/', "\r", $texte);
-	$texte = preg_replace('/<br( [^>]*)?' . '>/', "\n", $texte);
-
-	// on repasse les doubles \n en \r que nettoyer_raccourcis_typo() a pu modifier
-	$texte = str_replace("\n\n", "\r", $texte);
-
-	// supprimer les tags
-	$texte = supprimer_tags($texte);
-	$texte = trim(str_replace("\n", ' ', $texte));
-	$texte .= "\n";  // marquer la fin
-
-	// corriger la longueur de coupe
-	// en fonction de la presence de caracteres utf
-	if ($GLOBALS['meta']['charset'] == 'utf-8') {
-		$long = charset2unicode($texte);
-		$long = spip_substr($long, 0, max($taille, 1));
-		$nbcharutf = preg_match_all('/(&#[0-9]{3,6};)/S', $long, $matches);
-		$taille += $nbcharutf;
-	}
-
-
-	// couper au mot precedent
-	$long = spip_substr($texte, 0, max($taille - 4, 1));
-	$u = $GLOBALS['meta']['pcre_u'];
-	$court = preg_replace("/([^\s][\s]+)[^\s]*\n?$/" . $u, "\\1", $long);
-	if (is_null($suite)) {
-		$suite = (defined('_COUPER_SUITE') ? _COUPER_SUITE : '&nbsp;(...)');
-	}
-	$points = $suite;
-
-	// trop court ? ne pas faire de (...)
-	if (spip_strlen($court) < max(0.75 * $taille, 2)) {
-		$points = '';
-		$long = spip_substr($texte, 0, $taille);
-		$texte = preg_replace("/([^\s][\s]+)[^\s]*\n?$/" . $u, "\\1", $long);
-		// encore trop court ? couper au caractere
-		if (spip_strlen($texte) < 0.75 * $taille) {
-			$texte = $long;
-		}
-	} else {
-		$texte = $court;
-	}
-
-	if (strpos($texte, "\n")) {  // la fin est encore la : c'est qu'on n'a pas de texte de suite
-	$points = '';
-	}
-
-	// remettre les paragraphes
-	$texte = preg_replace("/\r+/", "\n\n", $texte);
-
-	// supprimer l'eventuelle entite finale mal coupee
-	$texte = preg_replace('/&#?[a-z0-9]*$/S', '', $texte);
-
-	return quote_amp(trim($texte)) . $points;
+    if (!($length = strlen($texte)) or $taille <= 0) {
+        return '';
+    }
+    $offset = 400 + 2 * $taille;
+    while (
+        $offset < $length
+        and strlen(preg_replace(',<(!--|\w|/)[^>]+>,Uims', '', substr($texte, 0, $offset))) < $taille
+    ) {
+        $offset = 2 * $offset;
+    }
+    if (
+        $offset < $length
+        && ($p_tag_ouvrant = strpos($texte, '<', $offset)) !== null
+    ) {
+        $p_tag_fermant = strpos($texte, '>', $offset);
+        if ($p_tag_fermant && ($p_tag_fermant < $p_tag_ouvrant)) {
+            $offset = $p_tag_fermant + 1;
+        } // prolonger la coupe jusqu'au tag fermant suivant eventuel
+    }
+    $texte = substr($texte, 0, $offset); /* eviter de travailler sur 10ko pour extraire 150 caracteres */
+
+    if (!function_exists('nettoyer_raccourcis_typo')) {
+        include_spip('inc/lien');
+    }
+    $texte = nettoyer_raccourcis_typo($texte);
+
+    // balises de sauts de ligne et paragraphe
+    $texte = preg_replace('/<p( [^>]*)?' . '>/', "\r", $texte);
+    $texte = preg_replace('/<br( [^>]*)?' . '>/', "\n", $texte);
+
+    // on repasse les doubles \n en \r que nettoyer_raccourcis_typo() a pu modifier
+    $texte = str_replace("\n\n", "\r", $texte);
+
+    // supprimer les tags
+    $texte = supprimer_tags($texte);
+    $texte = trim(str_replace("\n", ' ', $texte));
+    $texte .= "\n";  // marquer la fin
+
+    // corriger la longueur de coupe
+    // en fonction de la presence de caracteres utf
+    if ($GLOBALS['meta']['charset'] == 'utf-8') {
+        $long = charset2unicode($texte);
+        $long = spip_substr($long, 0, max($taille, 1));
+        $nbcharutf = preg_match_all('/(&#[0-9]{3,6};)/S', $long, $matches);
+        $taille += $nbcharutf;
+    }
+
+
+    // couper au mot precedent
+    $long = spip_substr($texte, 0, max($taille - 4, 1));
+    $u = $GLOBALS['meta']['pcre_u'];
+    $court = preg_replace("/([^\s][\s]+)[^\s]*\n?$/" . $u, "\\1", $long);
+    if (is_null($suite)) {
+        $suite = (defined('_COUPER_SUITE') ? _COUPER_SUITE : '&nbsp;(...)');
+    }
+    $points = $suite;
+
+    // trop court ? ne pas faire de (...)
+    if (spip_strlen($court) < max(0.75 * $taille, 2)) {
+        $points = '';
+        $long = spip_substr($texte, 0, $taille);
+        $texte = preg_replace("/([^\s][\s]+)[^\s]*\n?$/" . $u, "\\1", $long);
+        // encore trop court ? couper au caractere
+        if (spip_strlen($texte) < 0.75 * $taille) {
+            $texte = $long;
+        }
+    } else {
+        $texte = $court;
+    }
+
+    if (strpos($texte, "\n")) {  // la fin est encore la : c'est qu'on n'a pas de texte de suite
+    $points = '';
+    }
+
+    // remettre les paragraphes
+    $texte = preg_replace("/\r+/", "\n\n", $texte);
+
+    // supprimer l'eventuelle entite finale mal coupee
+    $texte = preg_replace('/&#?[a-z0-9]*$/S', '', $texte);
+
+    return quote_amp(trim($texte)) . $points;
 }
 
 
 function protege_js_modeles($t) {
-	if (isset($GLOBALS['visiteur_session'])) {
-		if (preg_match_all(',<script.*?($|</script.),isS', $t, $r, PREG_SET_ORDER)) {
-			if (!defined('_PROTEGE_JS_MODELES')) {
-				include_spip('inc/acces');
-				define('_PROTEGE_JS_MODELES', creer_uniqid());
-			}
-			foreach ($r as $regs) {
-				$t = str_replace($regs[0], code_echappement($regs[0], 'javascript' . _PROTEGE_JS_MODELES), $t);
-			}
-		}
-		if (preg_match_all(',<\?php.*?($|\?' . '>),isS', $t, $r, PREG_SET_ORDER)) {
-			if (!defined('_PROTEGE_PHP_MODELES')) {
-				include_spip('inc/acces');
-				define('_PROTEGE_PHP_MODELES', creer_uniqid());
-			}
-			foreach ($r as $regs) {
-				$t = str_replace($regs[0], code_echappement($regs[0], 'php' . _PROTEGE_PHP_MODELES), $t);
-			}
-		}
-	}
-
-	return $t;
+    if (isset($GLOBALS['visiteur_session'])) {
+        if (preg_match_all(',<script.*?($|</script.),isS', $t, $r, PREG_SET_ORDER)) {
+            if (!defined('_PROTEGE_JS_MODELES')) {
+                include_spip('inc/acces');
+                define('_PROTEGE_JS_MODELES', creer_uniqid());
+            }
+            foreach ($r as $regs) {
+                $t = str_replace($regs[0], code_echappement($regs[0], 'javascript' . _PROTEGE_JS_MODELES), $t);
+            }
+        }
+        if (preg_match_all(',<\?php.*?($|\?' . '>),isS', $t, $r, PREG_SET_ORDER)) {
+            if (!defined('_PROTEGE_PHP_MODELES')) {
+                include_spip('inc/acces');
+                define('_PROTEGE_PHP_MODELES', creer_uniqid());
+            }
+            foreach ($r as $regs) {
+                $t = str_replace($regs[0], code_echappement($regs[0], 'php' . _PROTEGE_PHP_MODELES), $t);
+            }
+        }
+    }
+
+    return $t;
 }
 
 
 function echapper_faux_tags($letexte) {
-	if (strpos($letexte, '<') === false) {
-		return $letexte;
-	}
-	$textMatches = preg_split(',(</?[a-z!][^<>]*>),', $letexte, -1, PREG_SPLIT_DELIM_CAPTURE);
-
-	$letexte = '';
-	while (is_countable($textMatches) ? count($textMatches) : 0) {
-		// un texte a echapper
-		$letexte .= str_replace('<', '&lt;', array_shift($textMatches));
-		// un tag html qui a servit a faite le split
-		$letexte .= array_shift($textMatches);
-	}
-
-	return $letexte;
+    if (strpos($letexte, '<') === false) {
+        return $letexte;
+    }
+    $textMatches = preg_split(',(</?[a-z!][^<>]*>),', $letexte, -1, PREG_SPLIT_DELIM_CAPTURE);
+
+    $letexte = '';
+    while (is_countable($textMatches) ? count($textMatches) : 0) {
+        // un texte a echapper
+        $letexte .= str_replace('<', '&lt;', array_shift($textMatches));
+        // un tag html qui a servit a faite le split
+        $letexte .= array_shift($textMatches);
+    }
+
+    return $letexte;
 }
 
 /**
@@ -493,100 +493,100 @@ 
  * @return string
  */
 function echapper_html_suspect($texte, $options = [], $connect = null, $env = []) {
-	static $echapper_html_suspect;
-	if (!$texte or !is_string($texte)) {
-		return $texte;
-	}
-
-	if (!isset($echapper_html_suspect)) {
-		$echapper_html_suspect = charger_fonction('echapper_html_suspect', 'inc', true);
-	}
-	// si fonction personalisee, on delegue
-	if ($echapper_html_suspect) {
-		// on collecte le tableau d'arg minimal pour ne pas casser un appel a une fonction inc_echapper_html_suspect() selon l'ancienne signature
-		$args = [$texte, $options];
-		if ($connect or !empty($env)) {
-			$args[] = $connect;
-		}
-		if (!empty($env)) {
-			$args[] = $env;
-		}
-		return $echapper_html_suspect(...$args);
-	}
-
-	if (is_bool($options)) {
-		$options = ['strict' => $options];
-	}
-	$strict = $options['strict'] ?? true;
-
-	// pas de balise html ou pas d'attribut sur les balises ? c'est OK
-	if (
-		strpos($texte, '<') === false
-		or strpos($texte, '=') === false
-	) {
-		return $texte;
-	}
-
-	// dans le prive, on veut afficher tout echappé pour la moderation
-	if (!isset($env['espace_prive'])) {
-		// conserver le comportement historique en cas d'appel court sans env
-		$env['espace_prive'] = test_espace_prive();
-	}
-	if (!empty($env['espace_prive']) or !empty($env['wysiwyg'])) {
-
-		// quand c'est du texte qui passe par propre on est plus coulant tant qu'il y a pas d'attribut du type onxxx=
-		// car sinon on declenche sur les modeles ou ressources
-		if (
-			!$strict and
-			(strpos($texte, 'on') === false or !preg_match(",<\w+.*\bon\w+\s*=,UimsS", $texte))
-		) {
-			return $texte;
-		}
-
-		[$texte, $markid] = modeles_echapper_raccourcis($texte, false);
-		$texte = echappe_js($texte);
-
-		$texte_to_check = $texte;
-		// si les raccourcis liens vont etre interprétés, il faut les expanser avant de vérifier que le html est safe
-		// car un raccourci peut etre utilisé pour faire un lien malin
-		// et un raccourci est potentiellement modifié par safehtml, ce qui fait un faux positif dans is_html_safe
-		if (!empty($options['expanser_liens'])) {
-			$texte_to_check = expanser_liens($texte_to_check, $env['connect'] ?? '', $env['env'] ?? []);
-		}
-		if (!is_html_safe($texte_to_check)) {
-			$texte = $options['texte_source_affiche'] ?? $texte;
-			$texte = preg_replace(",<(/?\w+\b[^>]*>),", "<tt>&lt;\\1</tt>", $texte);
-			$texte = str_replace('<', '&lt;', $texte);
-			$texte = str_replace('&lt;tt>', '<tt>', $texte);
-			$texte = str_replace('&lt;/tt>', '</tt>', $texte);
-			if (!function_exists('attribut_html')) {
-				include_spip('inc/filtres');
-			}
-			if (!empty($options['wrap_suspect'])) {
-				$texte = wrap($texte, $options['wrap_suspect']);
-			}
-			$texte = "<mark class='danger-js' title='" . attribut_html(_T('erreur_contenu_suspect')) . "'>⚠️</mark> " . $texte;
-		}
-		$texte = modele_retablir_raccourcis_echappes($texte, $markid);
-	}
-
-	// si on est là dans le public c'est le mode parano
-	// on veut donc un rendu propre et secure, et virer silencieusement ce qui est dangereux
-	else {
-		$markid = null;
-		if (!empty($options['expanser_liens'])) {
-			$texte = expanser_liens($texte, $env['connect'] ?? '', $env['env'] ?? []);
-		}
-		else {
-			[$texte, $markid] = modeles_echapper_raccourcis($texte, false);
-		}
-		$texte = safehtml($texte);
-		if ($markid) {
-			$texte = modele_retablir_raccourcis_echappes($texte, $markid);
-		}
-	}
-
-	return $texte;
+    static $echapper_html_suspect;
+    if (!$texte or !is_string($texte)) {
+        return $texte;
+    }
+
+    if (!isset($echapper_html_suspect)) {
+        $echapper_html_suspect = charger_fonction('echapper_html_suspect', 'inc', true);
+    }
+    // si fonction personalisee, on delegue
+    if ($echapper_html_suspect) {
+        // on collecte le tableau d'arg minimal pour ne pas casser un appel a une fonction inc_echapper_html_suspect() selon l'ancienne signature
+        $args = [$texte, $options];
+        if ($connect or !empty($env)) {
+            $args[] = $connect;
+        }
+        if (!empty($env)) {
+            $args[] = $env;
+        }
+        return $echapper_html_suspect(...$args);
+    }
+
+    if (is_bool($options)) {
+        $options = ['strict' => $options];
+    }
+    $strict = $options['strict'] ?? true;
+
+    // pas de balise html ou pas d'attribut sur les balises ? c'est OK
+    if (
+        strpos($texte, '<') === false
+        or strpos($texte, '=') === false
+    ) {
+        return $texte;
+    }
+
+    // dans le prive, on veut afficher tout echappé pour la moderation
+    if (!isset($env['espace_prive'])) {
+        // conserver le comportement historique en cas d'appel court sans env
+        $env['espace_prive'] = test_espace_prive();
+    }
+    if (!empty($env['espace_prive']) or !empty($env['wysiwyg'])) {
+
+        // quand c'est du texte qui passe par propre on est plus coulant tant qu'il y a pas d'attribut du type onxxx=
+        // car sinon on declenche sur les modeles ou ressources
+        if (
+            !$strict and
+            (strpos($texte, 'on') === false or !preg_match(",<\w+.*\bon\w+\s*=,UimsS", $texte))
+        ) {
+            return $texte;
+        }
+
+        [$texte, $markid] = modeles_echapper_raccourcis($texte, false);
+        $texte = echappe_js($texte);
+
+        $texte_to_check = $texte;
+        // si les raccourcis liens vont etre interprétés, il faut les expanser avant de vérifier que le html est safe
+        // car un raccourci peut etre utilisé pour faire un lien malin
+        // et un raccourci est potentiellement modifié par safehtml, ce qui fait un faux positif dans is_html_safe
+        if (!empty($options['expanser_liens'])) {
+            $texte_to_check = expanser_liens($texte_to_check, $env['connect'] ?? '', $env['env'] ?? []);
+        }
+        if (!is_html_safe($texte_to_check)) {
+            $texte = $options['texte_source_affiche'] ?? $texte;
+            $texte = preg_replace(",<(/?\w+\b[^>]*>),", "<tt>&lt;\\1</tt>", $texte);
+            $texte = str_replace('<', '&lt;', $texte);
+            $texte = str_replace('&lt;tt>', '<tt>', $texte);
+            $texte = str_replace('&lt;/tt>', '</tt>', $texte);
+            if (!function_exists('attribut_html')) {
+                include_spip('inc/filtres');
+            }
+            if (!empty($options['wrap_suspect'])) {
+                $texte = wrap($texte, $options['wrap_suspect']);
+            }
+            $texte = "<mark class='danger-js' title='" . attribut_html(_T('erreur_contenu_suspect')) . "'>⚠️</mark> " . $texte;
+        }
+        $texte = modele_retablir_raccourcis_echappes($texte, $markid);
+    }
+
+    // si on est là dans le public c'est le mode parano
+    // on veut donc un rendu propre et secure, et virer silencieusement ce qui est dangereux
+    else {
+        $markid = null;
+        if (!empty($options['expanser_liens'])) {
+            $texte = expanser_liens($texte, $env['connect'] ?? '', $env['env'] ?? []);
+        }
+        else {
+            [$texte, $markid] = modeles_echapper_raccourcis($texte, false);
+        }
+        $texte = safehtml($texte);
+        if ($markid) {
+            $texte = modele_retablir_raccourcis_echappes($texte, $markid);
+        }
+    }
+
+    return $texte;
 }
 
 
@@ -607,30 +607,30 @@ 
  *      Texte sécurisé
  **/
 function safehtml($t) {
-	static $safehtml;
-
-	if (!$t or !is_string($t)) {
-		return $t;
-	}
-	# attention safehtml nettoie deux ou trois caracteres de plus. A voir
-	if (strpos($t, '<') === false) {
-		return str_replace("\x00", '', $t);
-	}
-
-	if (!function_exists('interdire_scripts')) {
-		include_spip('inc/texte');
-	}
-	$t = interdire_scripts($t); // jolifier le php
-	$t = echappe_js($t);
-
-	if (!isset($safehtml)) {
-		$safehtml = charger_fonction('safehtml', 'inc', true);
-	}
-	if ($safehtml) {
-		$t = $safehtml($t);
-	}
-
-	return interdire_scripts($t); // interdire le php (2 precautions)
+    static $safehtml;
+
+    if (!$t or !is_string($t)) {
+        return $t;
+    }
+    # attention safehtml nettoie deux ou trois caracteres de plus. A voir
+    if (strpos($t, '<') === false) {
+        return str_replace("\x00", '', $t);
+    }
+
+    if (!function_exists('interdire_scripts')) {
+        include_spip('inc/texte');
+    }
+    $t = interdire_scripts($t); // jolifier le php
+    $t = echappe_js($t);
+
+    if (!isset($safehtml)) {
+        $safehtml = charger_fonction('safehtml', 'inc', true);
+    }
+    if ($safehtml) {
+        $t = $safehtml($t);
+    }
+
+    return interdire_scripts($t); // interdire le php (2 precautions)
 }
 
 
@@ -638,20 +638,20 @@ 
  * Detecter si un texte est "safe" ie non modifie significativement par safehtml()
  */
 function is_html_safe(string $texte): bool {
-	if ($is_html_safe = charger_fonction('is_html_safe', 'inc', true)) {
-		return $is_html_safe($texte);
-	}
-
-	// simplifier les retour ligne pour etre certain de ce que l'on compare
-	$texte = str_replace("\r\n", "\n", $texte);
-	// safehtml reduit aussi potentiellement les &nbsp;
-	$texte = str_replace("&nbsp;", " ", $texte);
-	$texte_safe = safehtml($texte);
-
-	// on teste sur strlen car safehtml supprime le contenu dangereux
-	// mais il peut aussi changer des ' en " sur les attributs html,
-	// donc un test d'egalite est trop strict
-	return strlen($texte_safe) === strlen($texte);
+    if ($is_html_safe = charger_fonction('is_html_safe', 'inc', true)) {
+        return $is_html_safe($texte);
+    }
+
+    // simplifier les retour ligne pour etre certain de ce que l'on compare
+    $texte = str_replace("\r\n", "\n", $texte);
+    // safehtml reduit aussi potentiellement les &nbsp;
+    $texte = str_replace("&nbsp;", " ", $texte);
+    $texte_safe = safehtml($texte);
+
+    // on teste sur strlen car safehtml supprime le contenu dangereux
+    // mais il peut aussi changer des ' en " sur les attributs html,
+    // donc un test d'egalite est trop strict
+    return strlen($texte_safe) === strlen($texte);
 }
 
 /**
@@ -672,13 +672,13 @@ 
  *     Texte sans les modèles d'image
  **/
 function supprime_img($letexte, $message = null) {
-	if ($message === null) {
-		$message = '(' . _T('img_indisponible') . ')';
-	}
-
-	return preg_replace(
-		',<(img|doc|emb)([0-9]+)(\|([^>]*))?' . '\s*/?' . '>,i',
-		$message,
-		$letexte
-	);
+    if ($message === null) {
+        $message = '(' . _T('img_indisponible') . ')';
+    }
+
+    return preg_replace(
+        ',<(img|doc|emb)([0-9]+)(\|([^>]*))?' . '\s*/?' . '>,i',
+        $message,
+        $letexte
+    );
 }

Braces +1 added lines, -2 removed lines

@@ -576,8 +576,7 @@
 		$markid = null;
 		if (!empty($options['expanser_liens'])) {
 			$texte = expanser_liens($texte, $env['connect'] ?? '', $env['env'] ?? []);
-		}
-		else {
+		} else {
 			[$texte, $markid] = modeles_echapper_raccourcis($texte, false);
 		}
 		$texte = safehtml($texte);