spip / SPIP

config/ecran_securite.php

Indentation +459 added lines, -459 removed lines

@@ -15,11 +15,11 @@ 
  * Test utilisateur
  */
 if (isset($_GET['test_ecran_securite'])) {
-	$ecran_securite_raison = 'test ' . _ECRAN_SECURITE;
+    $ecran_securite_raison = 'test ' . _ECRAN_SECURITE;
 }
 
 if (file_exists($f = __DIR__ . DIRECTORY_SEPARATOR  . 'ecran_securite_options.php')) {
-	include ($f);
+    include ($f);
 }
 
 /*
@@ -29,222 +29,222 @@ 
  * le load depasse ECRAN_SECURITE_LOAD)
  */
 if (!defined('_IS_BOT') and isset($_GET['var_isbot'])) {
-	define('_IS_BOT', $_GET['var_isbot'] ? true : false);
+    define('_IS_BOT', $_GET['var_isbot'] ? true : false);
 }
 
 /*
  * Détecteur de robot d'indexation
  */
 if (!defined('_IS_BOT')) {
-	define(
-		'_IS_BOT',
-		isset($_SERVER['HTTP_USER_AGENT'])
-			and preg_match(
-				','
-					. implode('|', array(
-						// mots generiques
-						'bot',
-						'slurp',
-						'crawler',
-						'crwlr',
-						'java',
-						'monitoring',
-						'spider',
-						'webvac',
-						'yandex',
-						'MSIE 6\.0', // botnet 99,9% du temps
-						// UA plus cibles
-						'200please',
-						'80legs',
-						'a6-indexer',
-						'aboundex',
-						'accoona',
-						'acrylicapps',
-						'addthis',
-						'adressendeutschland',
-						'alexa',
-						'altavista',
-						'analyticsseo',
-						'antennapod',
-						'arachnys',
-						'archive',
-						'argclrint',
-						'aspseek',
-						'baidu',
-						'begunadvertising',
-						'bing',
-						'bloglines',
-						'buck',
-						'browsershots',
-						'bubing',
-						'butterfly',
-						'changedetection',
-						'charlotte',
-						'chilkat',
-						'china',
-						'coccoc',
-						'crowsnest',
-						'dataminr',
-						'daumoa',
-						'dlvr\.it',
-						'dlweb',
-						'drupal',
-						'ec2linkfinder',
-						'eset\.com',
-						'estyle',
-						'exalead',
-						'ezooms',
-						'facebookexternalhit',
-						'facebookplatform',
-						'fairshare',
-						'feedfetcher',
-						'feedfetcher-google',
-						'feedly',
-						'fetch',
-						'flipboardproxy',
-						'genieo',
-						'google',
-						'go-http-client',
-						'grapeshot',
-						'hatena-useragent',
-						'head',
-						'hosttracker',
-						'hubspot',
-						'ia_archiver',
-						'ichiro',
-						'iltrovatore-setaccio',
-						'immediatenet',
-						'ina',
-						'inoreader',
-						'infegyatlas',
-						'infohelfer',
-						'instapaper',
-						'jabse',
-						'james',
-						'jersey',
-						'kumkie',
-						'linkdex',
-						'linkfluence',
-						'linkwalker',
-						'litefinder',
-						'loadimpactpageanalyzer',
-						'ltx71',
-						'luminate',
-						'lycos',
-						'lycosa',
-						'mediapartners-google',
-						'msai',
-						'myapp',
-						'nativehost',
-						'najdi',
-						'netcraftsurveyagent',
-						'netestate',
-						'netseer',
-						'netnewswire',
-						'newspaper',
-						'newsblur',
-						'nuhk',
-						'nuzzel',
-						'okhttp',
-						'otmedia',
-						'owlin',
-						'owncloud',
-						'panscient',
-						'paper\.li',
-						'parsijoo',
-						'protopage',
-						'plukkie',
-						'proximic',
-						'pubsub',
-						'python',
-						'qirina',
-						'qoshe',
-						'qualidator',
-						'qwantify',
-						'rambler',
-						'readability',
-						'ruby',
-						'sbsearch',
-						'scoop\.it',
-						'scooter',
-						'scoutjet',
-						'scrapy',
-						'scrubby',
-						'scrubbybloglines',
-						'shareaholic',
-						'shopwiki',
-						'simplepie',
-						'sistrix',
-						'sitechecker',
-						'siteexplorer',
-						'snapshot',
-						'sogou',
-						'special_archiver',
-						'speedy',
-						'spinn3r',
-						'spreadtrum',
-						'steeler',
-						'subscriber',
-						'suma',
-						'superdownloads',
-						'svenska-webbsido',
-						'teoma',
-						'the knowledge AI',
-						'thumbshots',
-						'tineye',
-						'traackr',
-						'trendiction',
-						'trendsmap',
-						'tweetedtimes',
-						'tweetmeme',
-						'universalfeedparser',
-						'uaslinkchecker',
-						'undrip',
-						'unwindfetchor',
-						'upday',
-						'vedma',
-						'vkshare',
-						'vm',
-						'wch',
-						'webalta',
-						'webcookies',
-						'webparser',
-						'webthumbnail',
-						'wesee',
-						'wise-guys',
-						'woko',
-						'wordpress',
-						'wotbox',
-						'y!j-bri',
-						'y!j-bro',
-						'y!j-brw',
-						'y!j-bsc',
-						'yahoo',
-						'yahoo!',
-						'yahooysmcm',
-						'ymobactus',
-						'yats',
-						'yeti',
-						'zeerch'
-					)) . ',i',
-				(string)$_SERVER['HTTP_USER_AGENT']
-			)
-	);
+    define(
+        '_IS_BOT',
+        isset($_SERVER['HTTP_USER_AGENT'])
+            and preg_match(
+                ','
+                    . implode('|', array(
+                        // mots generiques
+                        'bot',
+                        'slurp',
+                        'crawler',
+                        'crwlr',
+                        'java',
+                        'monitoring',
+                        'spider',
+                        'webvac',
+                        'yandex',
+                        'MSIE 6\.0', // botnet 99,9% du temps
+                        // UA plus cibles
+                        '200please',
+                        '80legs',
+                        'a6-indexer',
+                        'aboundex',
+                        'accoona',
+                        'acrylicapps',
+                        'addthis',
+                        'adressendeutschland',
+                        'alexa',
+                        'altavista',
+                        'analyticsseo',
+                        'antennapod',
+                        'arachnys',
+                        'archive',
+                        'argclrint',
+                        'aspseek',
+                        'baidu',
+                        'begunadvertising',
+                        'bing',
+                        'bloglines',
+                        'buck',
+                        'browsershots',
+                        'bubing',
+                        'butterfly',
+                        'changedetection',
+                        'charlotte',
+                        'chilkat',
+                        'china',
+                        'coccoc',
+                        'crowsnest',
+                        'dataminr',
+                        'daumoa',
+                        'dlvr\.it',
+                        'dlweb',
+                        'drupal',
+                        'ec2linkfinder',
+                        'eset\.com',
+                        'estyle',
+                        'exalead',
+                        'ezooms',
+                        'facebookexternalhit',
+                        'facebookplatform',
+                        'fairshare',
+                        'feedfetcher',
+                        'feedfetcher-google',
+                        'feedly',
+                        'fetch',
+                        'flipboardproxy',
+                        'genieo',
+                        'google',
+                        'go-http-client',
+                        'grapeshot',
+                        'hatena-useragent',
+                        'head',
+                        'hosttracker',
+                        'hubspot',
+                        'ia_archiver',
+                        'ichiro',
+                        'iltrovatore-setaccio',
+                        'immediatenet',
+                        'ina',
+                        'inoreader',
+                        'infegyatlas',
+                        'infohelfer',
+                        'instapaper',
+                        'jabse',
+                        'james',
+                        'jersey',
+                        'kumkie',
+                        'linkdex',
+                        'linkfluence',
+                        'linkwalker',
+                        'litefinder',
+                        'loadimpactpageanalyzer',
+                        'ltx71',
+                        'luminate',
+                        'lycos',
+                        'lycosa',
+                        'mediapartners-google',
+                        'msai',
+                        'myapp',
+                        'nativehost',
+                        'najdi',
+                        'netcraftsurveyagent',
+                        'netestate',
+                        'netseer',
+                        'netnewswire',
+                        'newspaper',
+                        'newsblur',
+                        'nuhk',
+                        'nuzzel',
+                        'okhttp',
+                        'otmedia',
+                        'owlin',
+                        'owncloud',
+                        'panscient',
+                        'paper\.li',
+                        'parsijoo',
+                        'protopage',
+                        'plukkie',
+                        'proximic',
+                        'pubsub',
+                        'python',
+                        'qirina',
+                        'qoshe',
+                        'qualidator',
+                        'qwantify',
+                        'rambler',
+                        'readability',
+                        'ruby',
+                        'sbsearch',
+                        'scoop\.it',
+                        'scooter',
+                        'scoutjet',
+                        'scrapy',
+                        'scrubby',
+                        'scrubbybloglines',
+                        'shareaholic',
+                        'shopwiki',
+                        'simplepie',
+                        'sistrix',
+                        'sitechecker',
+                        'siteexplorer',
+                        'snapshot',
+                        'sogou',
+                        'special_archiver',
+                        'speedy',
+                        'spinn3r',
+                        'spreadtrum',
+                        'steeler',
+                        'subscriber',
+                        'suma',
+                        'superdownloads',
+                        'svenska-webbsido',
+                        'teoma',
+                        'the knowledge AI',
+                        'thumbshots',
+                        'tineye',
+                        'traackr',
+                        'trendiction',
+                        'trendsmap',
+                        'tweetedtimes',
+                        'tweetmeme',
+                        'universalfeedparser',
+                        'uaslinkchecker',
+                        'undrip',
+                        'unwindfetchor',
+                        'upday',
+                        'vedma',
+                        'vkshare',
+                        'vm',
+                        'wch',
+                        'webalta',
+                        'webcookies',
+                        'webparser',
+                        'webthumbnail',
+                        'wesee',
+                        'wise-guys',
+                        'woko',
+                        'wordpress',
+                        'wotbox',
+                        'y!j-bri',
+                        'y!j-bro',
+                        'y!j-brw',
+                        'y!j-bsc',
+                        'yahoo',
+                        'yahoo!',
+                        'yahooysmcm',
+                        'ymobactus',
+                        'yats',
+                        'yeti',
+                        'zeerch'
+                    )) . ',i',
+                (string)$_SERVER['HTTP_USER_AGENT']
+            )
+    );
 }
 if (!defined('_IS_BOT_FRIEND')) {
-	define(
-		'_IS_BOT_FRIEND',
-		isset($_SERVER['HTTP_USER_AGENT'])
-			and preg_match(
-				',' . implode('|', array(
-					'facebookexternalhit',
-					'twitterbot',
-					'flipboardproxy',
-					'wordpress'
-				)) . ',i',
-				(string)$_SERVER['HTTP_USER_AGENT']
-			)
-	);
+    define(
+        '_IS_BOT_FRIEND',
+        isset($_SERVER['HTTP_USER_AGENT'])
+            and preg_match(
+                ',' . implode('|', array(
+                    'facebookexternalhit',
+                    'twitterbot',
+                    'flipboardproxy',
+                    'wordpress'
+                )) . ',i',
+                (string)$_SERVER['HTTP_USER_AGENT']
+            )
+    );
 }
 
 /*
@@ -256,28 +256,28 @@ 
  */
 $_exceptions = array('id_table', 'id_base', 'id_parent', 'id_article_pdf');
 foreach ($_GET as $var => $val) {
-	if (
-		$_GET[$var] and strncmp($var, "id_", 3) == 0
-		and !in_array($var, $_exceptions)
-	) {
-		$_GET[$var] = is_array($_GET[$var]) ? @array_map('intval', $_GET[$var]) : intval($_GET[$var]);
-	}
+    if (
+        $_GET[$var] and strncmp($var, "id_", 3) == 0
+        and !in_array($var, $_exceptions)
+    ) {
+        $_GET[$var] = is_array($_GET[$var]) ? @array_map('intval', $_GET[$var]) : intval($_GET[$var]);
+    }
 }
 foreach ($_POST as $var => $val) {
-	if (
-		$_POST[$var] and strncmp($var, "id_", 3) == 0
-		and !in_array($var, $_exceptions)
-	) {
-		$_POST[$var] = is_array($_POST[$var]) ? @array_map('intval', $_POST[$var]) : intval($_POST[$var]);
-	}
+    if (
+        $_POST[$var] and strncmp($var, "id_", 3) == 0
+        and !in_array($var, $_exceptions)
+    ) {
+        $_POST[$var] = is_array($_POST[$var]) ? @array_map('intval', $_POST[$var]) : intval($_POST[$var]);
+    }
 }
 foreach ($GLOBALS as $var => $val) {
-	if (
-		$GLOBALS[$var] and strncmp($var, "id_", 3) == 0
-		and !in_array($var, $_exceptions)
-	) {
-		$GLOBALS[$var] = is_array($GLOBALS[$var]) ? @array_map('intval', $GLOBALS[$var]) : intval($GLOBALS[$var]);
-	}
+    if (
+        $GLOBALS[$var] and strncmp($var, "id_", 3) == 0
+        and !in_array($var, $_exceptions)
+    ) {
+        $GLOBALS[$var] = is_array($GLOBALS[$var]) ? @array_map('intval', $GLOBALS[$var]) : intval($GLOBALS[$var]);
+    }
 }
 
 /*
@@ -290,116 +290,116 @@ 
  * Contrôle de quelques variables (XSS)
  */
 foreach (array('lang', 'var_recherche', 'aide', 'var_lang_r', 'lang_r', 'var_ajax_ancre', 'nom_fichier') as $var) {
-	if (isset($_GET[$var])) {
-		$_REQUEST[$var] = $GLOBALS[$var] = $_GET[$var] = preg_replace(',[^\w\,/#&;-]+,', ' ', (string)$_GET[$var]);
-	}
-	if (isset($_POST[$var])) {
-		$_REQUEST[$var] = $GLOBALS[$var] = $_POST[$var] = preg_replace(',[^\w\,/#&;-]+,', ' ', (string)$_POST[$var]);
-	}
+    if (isset($_GET[$var])) {
+        $_REQUEST[$var] = $GLOBALS[$var] = $_GET[$var] = preg_replace(',[^\w\,/#&;-]+,', ' ', (string)$_GET[$var]);
+    }
+    if (isset($_POST[$var])) {
+        $_REQUEST[$var] = $GLOBALS[$var] = $_POST[$var] = preg_replace(',[^\w\,/#&;-]+,', ' ', (string)$_POST[$var]);
+    }
 }
 
 /*
  * Filtre l'accès à spip_acces_doc (injection SQL en 1.8.2x)
  */
 if (isset($_SERVER['REQUEST_URI'])) {
-	if (preg_match(',^(.*/)?spip_acces_doc\.,', (string)$_SERVER['REQUEST_URI'])) {
-		$file = addslashes((string)$_GET['file']);
-	}
+    if (preg_match(',^(.*/)?spip_acces_doc\.,', (string)$_SERVER['REQUEST_URI'])) {
+        $file = addslashes((string)$_GET['file']);
+    }
 }
 
 /*
  * Pas d'inscription abusive
  */
 if (
-	isset($_REQUEST['mode']) and isset($_REQUEST['page'])
-	and !in_array($_REQUEST['mode'], array("6forum", "1comite"))
-	and $_REQUEST['page'] == "identifiants"
+    isset($_REQUEST['mode']) and isset($_REQUEST['page'])
+    and !in_array($_REQUEST['mode'], array("6forum", "1comite"))
+    and $_REQUEST['page'] == "identifiants"
 ) {
-	$ecran_securite_raison = "identifiants";
+    $ecran_securite_raison = "identifiants";
 }
 
 /*
  * Agenda joue à l'injection php
  */
 if (
-	isset($_REQUEST['partie_cal'])
-	and $_REQUEST['partie_cal'] !== htmlentities((string)$_REQUEST['partie_cal'])
+    isset($_REQUEST['partie_cal'])
+    and $_REQUEST['partie_cal'] !== htmlentities((string)$_REQUEST['partie_cal'])
 ) {
-	$ecran_securite_raison = "partie_cal";
+    $ecran_securite_raison = "partie_cal";
 }
 if (
-	isset($_REQUEST['echelle'])
-	and $_REQUEST['echelle'] !== htmlentities((string)$_REQUEST['echelle'])
+    isset($_REQUEST['echelle'])
+    and $_REQUEST['echelle'] !== htmlentities((string)$_REQUEST['echelle'])
 ) {
-	$ecran_securite_raison = "echelle";
+    $ecran_securite_raison = "echelle";
 }
 
 /*
  * Espace privé
  */
 if (
-	isset($_REQUEST['exec'])
-	and !preg_match(',^[\w-]+$,', (string)$_REQUEST['exec'])
+    isset($_REQUEST['exec'])
+    and !preg_match(',^[\w-]+$,', (string)$_REQUEST['exec'])
 ) {
-	$ecran_securite_raison = "exec";
+    $ecran_securite_raison = "exec";
 }
 if (
-	isset($_REQUEST['cherche_auteur'])
-	and preg_match(',[<],', (string)$_REQUEST['cherche_auteur'])
+    isset($_REQUEST['cherche_auteur'])
+    and preg_match(',[<],', (string)$_REQUEST['cherche_auteur'])
 ) {
-	$ecran_securite_raison = "cherche_auteur";
+    $ecran_securite_raison = "cherche_auteur";
 }
 if (
-	isset($_REQUEST['exec'])
-	and $_REQUEST['exec'] == 'auteurs'
-	and isset($_REQUEST['recherche'])
-	and preg_match(',[<],', (string)$_REQUEST['recherche'])
+    isset($_REQUEST['exec'])
+    and $_REQUEST['exec'] == 'auteurs'
+    and isset($_REQUEST['recherche'])
+    and preg_match(',[<],', (string)$_REQUEST['recherche'])
 ) {
-	$ecran_securite_raison = "recherche";
+    $ecran_securite_raison = "recherche";
 }
 if (
-	isset($_REQUEST['exec'])
-	and $_REQUEST['exec'] == 'info_plugin'
-	and isset($_REQUEST['plugin'])
-	and preg_match(',[<],', (string)$_REQUEST['plugin'])
+    isset($_REQUEST['exec'])
+    and $_REQUEST['exec'] == 'info_plugin'
+    and isset($_REQUEST['plugin'])
+    and preg_match(',[<],', (string)$_REQUEST['plugin'])
 ) {
-	$ecran_securite_raison = "plugin";
+    $ecran_securite_raison = "plugin";
 }
 if (
-	isset($_REQUEST['exec'])
-	and $_REQUEST['exec'] == 'puce_statut'
-	and isset($_REQUEST['id'])
-	and !intval($_REQUEST['id'])
+    isset($_REQUEST['exec'])
+    and $_REQUEST['exec'] == 'puce_statut'
+    and isset($_REQUEST['id'])
+    and !intval($_REQUEST['id'])
 ) {
-	$ecran_securite_raison = "puce_statut";
+    $ecran_securite_raison = "puce_statut";
 }
 if (
-	isset($_REQUEST['action'])
-	and $_REQUEST['action'] == 'configurer'
+    isset($_REQUEST['action'])
+    and $_REQUEST['action'] == 'configurer'
 ) {
-	if (
-		@file_exists('inc_version.php')
-		or @file_exists('ecrire/inc_version.php')
-	) {
-		function action_configurer() {
-			include_spip('inc/autoriser');
-			if (!autoriser('configurer', _request('configuration'))) {
-				include_spip('inc/minipres');
-				echo minipres(_T('info_acces_interdit'));
-				exit;
-			}
-			require _DIR_RESTREINT . 'action/configurer.php';
-			action_configurer_dist();
-		}
-	}
+    if (
+        @file_exists('inc_version.php')
+        or @file_exists('ecrire/inc_version.php')
+    ) {
+        function action_configurer() {
+            include_spip('inc/autoriser');
+            if (!autoriser('configurer', _request('configuration'))) {
+                include_spip('inc/minipres');
+                echo minipres(_T('info_acces_interdit'));
+                exit;
+            }
+            require _DIR_RESTREINT . 'action/configurer.php';
+            action_configurer_dist();
+        }
+    }
 }
 if (
-	isset($_REQUEST['action'])
-	and $_REQUEST['action'] == 'ordonner_liens_documents'
-	and isset($_REQUEST['ordre'])
-	and is_string($_REQUEST['ordre'])
+    isset($_REQUEST['action'])
+    and $_REQUEST['action'] == 'ordonner_liens_documents'
+    and isset($_REQUEST['ordre'])
+    and is_string($_REQUEST['ordre'])
 ) {
-	$ecran_securite_raison = "ordre a la chaine";
+    $ecran_securite_raison = "ordre a la chaine";
 }
 
 
@@ -407,29 +407,29 @@ 
  * Bloque les requêtes contenant %00 (manipulation d'include)
  */
 if (strpos(
-	(function_exists('get_magic_quotes_gpc') and @get_magic_quotes_gpc())
-		? stripslashes(serialize($_REQUEST))
-		: serialize($_REQUEST),
-	chr(0)
+    (function_exists('get_magic_quotes_gpc') and @get_magic_quotes_gpc())
+        ? stripslashes(serialize($_REQUEST))
+        : serialize($_REQUEST),
+    chr(0)
 ) !== false) {
-	$ecran_securite_raison = "%00";
+    $ecran_securite_raison = "%00";
 }
 
 /*
  * Bloque les requêtes fond=formulaire_
  */
 if (
-	isset($_REQUEST['fond'])
-	and preg_match(',^formulaire_,i', $_REQUEST['fond'])
+    isset($_REQUEST['fond'])
+    and preg_match(',^formulaire_,i', $_REQUEST['fond'])
 ) {
-	$ecran_securite_raison = "fond=formulaire_";
+    $ecran_securite_raison = "fond=formulaire_";
 }
 
 /*
  * Bloque les requêtes du type ?GLOBALS[type_urls]=toto (bug vieux php)
  */
 if (isset($_REQUEST['GLOBALS'])) {
-	$ecran_securite_raison = "GLOBALS[GLOBALS]";
+    $ecran_securite_raison = "GLOBALS[GLOBALS]";
 }
 
 /*
@@ -438,14 +438,14 @@ 
  * les paginations entremélées
  */
 if (_IS_BOT) {
-	if (
-		(isset($_REQUEST['echelle']) and isset($_REQUEST['partie_cal']) and isset($_REQUEST['type']))
-		or (strpos((string)$_SERVER['REQUEST_URI'], 'debut_') and preg_match(',[?&]debut_.*&debut_,', (string)$_SERVER['REQUEST_URI']))
-		or (isset($_REQUEST['calendrier_annee']) and strpos((string)$_SERVER['REQUEST_URI'], 'debut_'))
-		or (isset($_REQUEST['calendrier_annee']) and preg_match(',[?&]calendrier_annee=.*&calendrier_annee=,', (string)$_SERVER['REQUEST_URI']))
-	) {
-		$ecran_securite_raison = "robot agenda/double pagination";
-	}
+    if (
+        (isset($_REQUEST['echelle']) and isset($_REQUEST['partie_cal']) and isset($_REQUEST['type']))
+        or (strpos((string)$_SERVER['REQUEST_URI'], 'debut_') and preg_match(',[?&]debut_.*&debut_,', (string)$_SERVER['REQUEST_URI']))
+        or (isset($_REQUEST['calendrier_annee']) and strpos((string)$_SERVER['REQUEST_URI'], 'debut_'))
+        or (isset($_REQUEST['calendrier_annee']) and preg_match(',[?&]calendrier_annee=.*&calendrier_annee=,', (string)$_SERVER['REQUEST_URI']))
+    ) {
+        $ecran_securite_raison = "robot agenda/double pagination";
+    }
 }
 
 /*
@@ -453,82 +453,82 @@ 
  * Bloque un XSS sur une page inexistante
  */
 if (isset($_REQUEST['page'])) {
-	if ($_REQUEST['page'] == 'test_cfg') {
-		$ecran_securite_raison = "test_cfg";
-	}
-	if ($_REQUEST['page'] !== htmlspecialchars((string)$_REQUEST['page'])) {
-		$ecran_securite_raison = "xsspage";
-	}
-	if (
-		$_REQUEST['page'] == '404'
-		and isset($_REQUEST['erreur'])
-	) {
-		$ecran_securite_raison = "xss404";
-	}
+    if ($_REQUEST['page'] == 'test_cfg') {
+        $ecran_securite_raison = "test_cfg";
+    }
+    if ($_REQUEST['page'] !== htmlspecialchars((string)$_REQUEST['page'])) {
+        $ecran_securite_raison = "xsspage";
+    }
+    if (
+        $_REQUEST['page'] == '404'
+        and isset($_REQUEST['erreur'])
+    ) {
+        $ecran_securite_raison = "xss404";
+    }
 }
 
 /*
  * XSS par array
  */
 foreach (array('var_login') as $var) {
-	if (isset($_REQUEST[$var]) and is_array($_REQUEST[$var])) {
-		$ecran_securite_raison = "xss " . $var;
-	}
+    if (isset($_REQUEST[$var]) and is_array($_REQUEST[$var])) {
+        $ecran_securite_raison = "xss " . $var;
+    }
 }
 
 /*
  * Parade antivirale contre un cheval de troie
  */
 if (!function_exists('tmp_lkojfghx')) {
-	function tmp_lkojfghx() {}
-	function tmp_lkojfghx2($a = 0, $b = 0, $c = 0, $d = 0) {
-		// si jamais on est arrivé ici sur une erreur php
-		// et qu'un autre gestionnaire d'erreur est défini, l'appeller
-		if ($b && $GLOBALS['tmp_xhgfjokl']) {
-			call_user_func($GLOBALS['tmp_xhgfjokl'], $a, $b, $c, $d);
-		}
-	}
+    function tmp_lkojfghx() {}
+    function tmp_lkojfghx2($a = 0, $b = 0, $c = 0, $d = 0) {
+        // si jamais on est arrivé ici sur une erreur php
+        // et qu'un autre gestionnaire d'erreur est défini, l'appeller
+        if ($b && $GLOBALS['tmp_xhgfjokl']) {
+            call_user_func($GLOBALS['tmp_xhgfjokl'], $a, $b, $c, $d);
+        }
+    }
 }
 if (isset($_POST['tmp_lkojfghx3'])) {
-	$ecran_securite_raison = "gumblar";
+    $ecran_securite_raison = "gumblar";
 }
 
 /*
  * Outils XML mal sécurisés < 2.0.9
  */
 if (isset($_REQUEST['transformer_xml'])) {
-	$ecran_securite_raison = "transformer_xml";
+    $ecran_securite_raison = "transformer_xml";
 }
 
 /*
  * Outils XML mal sécurisés again
  */
 if (isset($_REQUEST['var_url']) and $_REQUEST['var_url'] and isset($_REQUEST['exec']) and $_REQUEST['exec'] == 'valider_xml') {
-	$url = trim($_REQUEST['var_url']);
-	if (
-		strncmp($url, '/', 1) == 0
-		or (($p = strpos($url, '..')) !== false and strpos($url, '..', $p + 3) !== false)
-		or (($p = strpos($url, '..')) !== false and strpos($url, 'IMG', $p + 3) !== false)
-		or (strpos($url, '://') !== false or strpos($url, ':\\') !== false)
-	) {
-		$ecran_securite_raison = 'URL interdite pour var_url';
-	}
+    $url = trim($_REQUEST['var_url']);
+    if (
+        strncmp($url, '/', 1) == 0
+        or (($p = strpos($url, '..')) !== false and strpos($url, '..', $p + 3) !== false)
+        or (($p = strpos($url, '..')) !== false and strpos($url, 'IMG', $p + 3) !== false)
+        or (strpos($url, '://') !== false or strpos($url, ':\\') !== false)
+    ) {
+        $ecran_securite_raison = 'URL interdite pour var_url';
+    }
 }
 
 /*
  * Sauvegarde mal securisée < 2.0.9
  */
 if (
-	isset($_REQUEST['nom_sauvegarde'])
-	and strstr((string)$_REQUEST['nom_sauvegarde'], '/')
+    isset($_REQUEST['nom_sauvegarde'])
+    and strstr((string)$_REQUEST['nom_sauvegarde'], '/')
 ) {
-	$ecran_securite_raison = 'nom_sauvegarde manipulee';
+    $ecran_securite_raison = 'nom_sauvegarde manipulee';
 }
 if (
-	isset($_REQUEST['znom_sauvegarde'])
-	and strstr((string)$_REQUEST['znom_sauvegarde'], '/')
+    isset($_REQUEST['znom_sauvegarde'])
+    and strstr((string)$_REQUEST['znom_sauvegarde'], '/')
 ) {
-	$ecran_securite_raison = 'znom_sauvegarde manipulee';
+    $ecran_securite_raison = 'znom_sauvegarde manipulee';
 }
 
 
@@ -537,57 +537,57 @@ 
  * on vérifie 'page' pour ne pas bloquer ... drupal
  */
 if (
-	isset($_REQUEST['op']) and isset($_REQUEST['page'])
-	and $_REQUEST['op'] !== preg_replace('/[^\\-\w]/', '', $_REQUEST['op'])
+    isset($_REQUEST['op']) and isset($_REQUEST['page'])
+    and $_REQUEST['op'] !== preg_replace('/[^\\-\w]/', '', $_REQUEST['op'])
 ) {
-	$ecran_securite_raison = 'op';
+    $ecran_securite_raison = 'op';
 }
 
 /*
  * Forms & Table ne se méfiait pas assez des uploads de fichiers
  */
 if (count($_FILES)) {
-	foreach ($_FILES as $k => $v) {
-		if (
-			preg_match(',^fichier_\d+$,', $k)
-			and preg_match(',\.php,i', $v['name'])
-		) {
-			unset($_FILES[$k]);
-		}
-	}
+    foreach ($_FILES as $k => $v) {
+        if (
+            preg_match(',^fichier_\d+$,', $k)
+            and preg_match(',\.php,i', $v['name'])
+        ) {
+            unset($_FILES[$k]);
+        }
+    }
 }
 /*
  * et Contact trop laxiste avec une variable externe
  * on bloque pas le post pour eviter de perdre des donnees mais on unset la variable et c'est tout
  */
 if (isset($_REQUEST['pj_enregistrees_nom']) and $_REQUEST['pj_enregistrees_nom']) {
-	unset($_REQUEST['pj_enregistrees_nom']);
-	unset($_GET['pj_enregistrees_nom']);
-	unset($_POST['pj_enregistrees_nom']);
+    unset($_REQUEST['pj_enregistrees_nom']);
+    unset($_GET['pj_enregistrees_nom']);
+    unset($_POST['pj_enregistrees_nom']);
 }
 
 /*
  * reinstall=oui un peu trop permissif
  */
 if (
-	isset($_REQUEST['reinstall'])
-	and $_REQUEST['reinstall'] == 'oui'
+    isset($_REQUEST['reinstall'])
+    and $_REQUEST['reinstall'] == 'oui'
 ) {
-	$ecran_securite_raison = 'reinstall=oui';
+    $ecran_securite_raison = 'reinstall=oui';
 }
 
 /*
  * Pas d'action pendant l'install
  */
 if (isset($_REQUEST['exec']) and $_REQUEST['exec'] === 'install' and isset($_REQUEST['action'])) {
-	$ecran_securite_raison = 'install&action impossibles';
+    $ecran_securite_raison = 'install&action impossibles';
 }
 
 /*
  * Échappement xss referer
  */
 if (isset($_SERVER['HTTP_REFERER'])) {
-	$_SERVER['HTTP_REFERER'] = strtr($_SERVER['HTTP_REFERER'], '<>"\'', '[]##');
+    $_SERVER['HTTP_REFERER'] = strtr($_SERVER['HTTP_REFERER'], '<>"\'', '[]##');
 }
 
 
@@ -595,7 +595,7 @@ 
  * Echappement HTTP_X_FORWARDED_HOST
  */
 if (isset($_SERVER['HTTP_X_FORWARDED_HOST'])) {
-	$_SERVER['HTTP_X_FORWARDED_HOST'] = strtr($_SERVER['HTTP_X_FORWARDED_HOST'], "<>?\"\{\}\$'` \r\n", '____________');
+    $_SERVER['HTTP_X_FORWARDED_HOST'] = strtr($_SERVER['HTTP_X_FORWARDED_HOST'], "<>?\"\{\}\$'` \r\n", '____________');
 }
 
 
@@ -603,9 +603,9 @@ 
  * Pas d'erreur dans l'erreur
  */
 if (isset($_REQUEST['var_erreur']) and isset($_REQUEST['page']) and $_REQUEST['page'] === 'login') {
-	if (strlen($_REQUEST['var_erreur']) !== strcspn($_REQUEST['var_erreur'], '<>')) {
-		$ecran_securite_raison = 'var_erreur incorrecte';
-	}
+    if (strlen($_REQUEST['var_erreur']) !== strcspn($_REQUEST['var_erreur'], '<>')) {
+        $ecran_securite_raison = 'var_erreur incorrecte';
+    }
 }
 
 
@@ -613,30 +613,30 @@ 
  * Réinjection des clés en html dans l'admin r19561
  */
 if (
-	(isset($_SERVER['REQUEST_URI']) and strpos($_SERVER['REQUEST_URI'], "ecrire/") !== false)
-	or isset($_REQUEST['var_memotri'])
+    (isset($_SERVER['REQUEST_URI']) and strpos($_SERVER['REQUEST_URI'], "ecrire/") !== false)
+    or isset($_REQUEST['var_memotri'])
 ) {
-	$zzzz = implode("", array_keys($_REQUEST));
-	if (strlen($zzzz) != strcspn($zzzz, '<>"\'')) {
-		$ecran_securite_raison = 'Cle incorrecte en $_REQUEST';
-	}
+    $zzzz = implode("", array_keys($_REQUEST));
+    if (strlen($zzzz) != strcspn($zzzz, '<>"\'')) {
+        $ecran_securite_raison = 'Cle incorrecte en $_REQUEST';
+    }
 }
 
 /*
  * Injection par connect
  */
 if (
-	isset($_REQUEST['connect'])
-	// cas qui permettent de sortir d'un commentaire PHP
-	and (
-		strpos($_REQUEST['connect'], "?") !== false
-		or strpos($_REQUEST['connect'], "<") !== false
-		or strpos($_REQUEST['connect'], ">") !== false
-		or strpos($_REQUEST['connect'], "\n") !== false
-		or strpos($_REQUEST['connect'], "\r") !== false
-	)
+    isset($_REQUEST['connect'])
+    // cas qui permettent de sortir d'un commentaire PHP
+    and (
+        strpos($_REQUEST['connect'], "?") !== false
+        or strpos($_REQUEST['connect'], "<") !== false
+        or strpos($_REQUEST['connect'], ">") !== false
+        or strpos($_REQUEST['connect'], "\n") !== false
+        or strpos($_REQUEST['connect'], "\r") !== false
+    )
 ) {
-	$ecran_securite_raison = "malformed connect argument";
+    $ecran_securite_raison = "malformed connect argument";
 }
 
 
@@ -644,73 +644,73 @@ 
  * _oups donc
  */
 if (
-	isset($_REQUEST['_oups'])
-	and base64_decode($_REQUEST['_oups'], true) === false) {
-	$ecran_securite_raison = "malformed _oups argument";
+    isset($_REQUEST['_oups'])
+    and base64_decode($_REQUEST['_oups'], true) === false) {
+    $ecran_securite_raison = "malformed _oups argument";
 }
 
 if (
-	isset($_REQUEST['formulaire_action_args'])
+    isset($_REQUEST['formulaire_action_args'])
 ) {
-	foreach ($_REQUEST as $k => $v) {
-		if (is_string($v)
-		  and strpbrk($v, "&\"'<>") !== false
-		  and preg_match(',^[abis]:\d+[:;],', $v)
-		  and __ecran_test_if_serialized($v)
-		) {
-			$_REQUEST[$k] = htmlspecialchars($v, ENT_QUOTES);
-			if (isset($_POST[$k])) $_POST[$k] = $_REQUEST[$k];
-			if (isset($_GET[$k])) $_GET[$k] = $_REQUEST[$k];
-		}
-	}
+    foreach ($_REQUEST as $k => $v) {
+        if (is_string($v)
+          and strpbrk($v, "&\"'<>") !== false
+          and preg_match(',^[abis]:\d+[:;],', $v)
+          and __ecran_test_if_serialized($v)
+        ) {
+            $_REQUEST[$k] = htmlspecialchars($v, ENT_QUOTES);
+            if (isset($_POST[$k])) $_POST[$k] = $_REQUEST[$k];
+            if (isset($_GET[$k])) $_GET[$k] = $_REQUEST[$k];
+        }
+    }
 }
 /**
  * Version simplifiée de https://developer.wordpress.org/reference/functions/is_serialized/
  */
 function __ecran_test_if_serialized($data) {
-	$data = trim($data);
-	if ('N;' === $data) {return true;}
-	if (strlen($data) < 4) {return false;}
-	if (':' !== $data[1]) {return false;}
-	$semicolon = strpos($data, ';');
-	$brace = strpos($data, '}');
-	// Either ; or } must exist.
-	if (false === $semicolon && false === $brace) {return false;}
-	// But neither must be in the first X characters.
-	if (false !== $semicolon && $semicolon < 3) {return false;}
-	if (false !== $brace && $brace < 4) {return false;}
-	$token = $data[0];
-	if (in_array($token, array('s', 'S'))) {
-		if (false === strpos($data, '"')) {return false;}
-	} elseif (in_array($token, array('a', 'O', 'C', 'o', 'E'))) {
-		return (bool)preg_match("/^{$token}:[0-9]+:/s", $data);
-	} elseif (in_array($token, array('b', 'i', 'd'))) {
-		return (bool)preg_match("/^{$token}:[0-9.E+-]+;/", $data);
-	}
-	return false;
+    $data = trim($data);
+    if ('N;' === $data) {return true;}
+    if (strlen($data) < 4) {return false;}
+    if (':' !== $data[1]) {return false;}
+    $semicolon = strpos($data, ';');
+    $brace = strpos($data, '}');
+    // Either ; or } must exist.
+    if (false === $semicolon && false === $brace) {return false;}
+    // But neither must be in the first X characters.
+    if (false !== $semicolon && $semicolon < 3) {return false;}
+    if (false !== $brace && $brace < 4) {return false;}
+    $token = $data[0];
+    if (in_array($token, array('s', 'S'))) {
+        if (false === strpos($data, '"')) {return false;}
+    } elseif (in_array($token, array('a', 'O', 'C', 'o', 'E'))) {
+        return (bool)preg_match("/^{$token}:[0-9]+:/s", $data);
+    } elseif (in_array($token, array('b', 'i', 'd'))) {
+        return (bool)preg_match("/^{$token}:[0-9.E+-]+;/", $data);
+    }
+    return false;
 }
 
 /*
  * S'il y a une raison de mourir, mourons
  */
 if (isset($ecran_securite_raison)) {
-	header("HTTP/1.0 403 Forbidden");
-	header("Expires: Wed, 11 Jan 1984 05:00:00 GMT");
-	header("Cache-Control: no-cache, must-revalidate");
-	header("Pragma: no-cache");
-	header("Content-Type: text/html");
-	header("Connection: close");
-	die("<html><title>Error 403: Forbidden</title><body><h1>Error 403</h1><p>You are not authorized to view this page ($ecran_securite_raison)</p></body></html>");
+    header("HTTP/1.0 403 Forbidden");
+    header("Expires: Wed, 11 Jan 1984 05:00:00 GMT");
+    header("Cache-Control: no-cache, must-revalidate");
+    header("Pragma: no-cache");
+    header("Content-Type: text/html");
+    header("Connection: close");
+    die("<html><title>Error 403: Forbidden</title><body><h1>Error 403</h1><p>You are not authorized to view this page ($ecran_securite_raison)</p></body></html>");
 }
 
 /*
  * Un filtre filtrer_entites securise
  */
 if (!function_exists('filtre_filtrer_entites_dist')) {
-	function filtre_filtrer_entites_dist($t) {
-		include_spip('inc/texte');
-		return interdire_scripts(filtrer_entites($t));
-	}
+    function filtre_filtrer_entites_dist($t) {
+        include_spip('inc/texte');
+        return interdire_scripts(filtrer_entites($t));
+    }
 }
 
 
@@ -724,35 +724,35 @@ 
  * Bloque les bots quand le load déborde
  */
 if (!defined('_ECRAN_SECURITE_LOAD')) {
-	define('_ECRAN_SECURITE_LOAD', 4);
+    define('_ECRAN_SECURITE_LOAD', 4);
 }
 
 if (
-	defined('_ECRAN_SECURITE_LOAD')
-	and _ECRAN_SECURITE_LOAD > 0
-	and _IS_BOT
-	and !_IS_BOT_FRIEND
-	and $_SERVER['REQUEST_METHOD'] === 'GET'
-	and (
-		(function_exists('sys_getloadavg')
-			and $load = sys_getloadavg()
-			and is_array($load)
-			and $load = array_shift($load))
-		or
-		(@is_readable('/proc/loadavg')
-			and $load = file_get_contents('/proc/loadavg')
-			and $load = floatval($load))
-	)
-	and $load > _ECRAN_SECURITE_LOAD // eviter l'evaluation suivante si de toute facon le load est inferieur a la limite
-	and rand(0, (int) ($load * $load)) > _ECRAN_SECURITE_LOAD * _ECRAN_SECURITE_LOAD
+    defined('_ECRAN_SECURITE_LOAD')
+    and _ECRAN_SECURITE_LOAD > 0
+    and _IS_BOT
+    and !_IS_BOT_FRIEND
+    and $_SERVER['REQUEST_METHOD'] === 'GET'
+    and (
+        (function_exists('sys_getloadavg')
+            and $load = sys_getloadavg()
+            and is_array($load)
+            and $load = array_shift($load))
+        or
+        (@is_readable('/proc/loadavg')
+            and $load = file_get_contents('/proc/loadavg')
+            and $load = floatval($load))
+    )
+    and $load > _ECRAN_SECURITE_LOAD // eviter l'evaluation suivante si de toute facon le load est inferieur a la limite
+    and rand(0, (int) ($load * $load)) > _ECRAN_SECURITE_LOAD * _ECRAN_SECURITE_LOAD
 ) {
-	//https://webmasters.stackexchange.com/questions/65674/should-i-return-a-429-or-503-status-code-to-a-bot
-	header("HTTP/1.0 429 Too Many Requests");
-	header("Retry-After: 300");
-	header("Expires: Wed, 11 Jan 1984 05:00:00 GMT");
-	header("Cache-Control: no-cache, must-revalidate");
-	header("Pragma: no-cache");
-	header("Content-Type: text/html");
-	header("Connection: close");
-	die("<html><title>Status 429: Too Many Requests</title><body><h1>Status 429</h1><p>Too Many Requests (try again soon)</p></body></html>");
+    //https://webmasters.stackexchange.com/questions/65674/should-i-return-a-429-or-503-status-code-to-a-bot
+    header("HTTP/1.0 429 Too Many Requests");
+    header("Retry-After: 300");
+    header("Expires: Wed, 11 Jan 1984 05:00:00 GMT");
+    header("Cache-Control: no-cache, must-revalidate");
+    header("Pragma: no-cache");
+    header("Content-Type: text/html");
+    header("Connection: close");
+    die("<html><title>Status 429: Too Many Requests</title><body><h1>Status 429</h1><p>Too Many Requests (try again soon)</p></body></html>");
 }

ecrire/inc_version.php

Indentation +214 added lines, -214 removed lines

@@ -16,7 +16,7 @@ 
  **/
 
 if (defined('_ECRIRE_INC_VERSION')) {
-	return;
+    return;
 }
 
 /**
@@ -36,15 +36,15 @@ 
 define('_PHP_MAX', '8.2.99');
 
 if (!defined('_DIR_RESTREINT_ABS')) {
-	/** le nom du repertoire ecrire/ */
-	define('_DIR_RESTREINT_ABS', 'ecrire/');
+    /** le nom du repertoire ecrire/ */
+    define('_DIR_RESTREINT_ABS', 'ecrire/');
 }
 
 /** Chemin relatif pour aller dans ecrire
  *  vide si on est dans ecrire, 'ecrire/' sinon */
 define(
-	'_DIR_RESTREINT',
-	(!is_dir(_DIR_RESTREINT_ABS) ? '' : _DIR_RESTREINT_ABS)
+    '_DIR_RESTREINT',
+    (!is_dir(_DIR_RESTREINT_ABS) ? '' : _DIR_RESTREINT_ABS)
 );
 
 /** Chemin relatif pour aller à la racine */
@@ -61,28 +61,28 @@ 
 # Par defaut ces 4 noms seront suffixes par _DIR_RACINE (cf plus bas)
 # mais on peut les mettre ailleurs et changer completement les noms
 if (!defined('_NOM_TEMPORAIRES_INACCESSIBLES')) {
-	/** Nom du repertoire des fichiers Temporaires Inaccessibles par http:// */
-	define('_NOM_TEMPORAIRES_INACCESSIBLES', 'tmp/');
+    /** Nom du repertoire des fichiers Temporaires Inaccessibles par http:// */
+    define('_NOM_TEMPORAIRES_INACCESSIBLES', 'tmp/');
 }
 if (!defined('_NOM_TEMPORAIRES_ACCESSIBLES')) {
-	/** Nom du repertoire des fichiers Temporaires Accessibles par http:// */
-	define('_NOM_TEMPORAIRES_ACCESSIBLES', 'local/');
+    /** Nom du repertoire des fichiers Temporaires Accessibles par http:// */
+    define('_NOM_TEMPORAIRES_ACCESSIBLES', 'local/');
 }
 if (!defined('_NOM_PERMANENTS_INACCESSIBLES')) {
-	/** Nom du repertoire des fichiers Permanents Inaccessibles par http:// */
-	define('_NOM_PERMANENTS_INACCESSIBLES', 'config/');
+    /** Nom du repertoire des fichiers Permanents Inaccessibles par http:// */
+    define('_NOM_PERMANENTS_INACCESSIBLES', 'config/');
 }
 if (!defined('_NOM_PERMANENTS_ACCESSIBLES')) {
-	/** Nom du repertoire des fichiers Permanents Accessibles par http:// */
-	define('_NOM_PERMANENTS_ACCESSIBLES', 'IMG/');
+    /** Nom du repertoire des fichiers Permanents Accessibles par http:// */
+    define('_NOM_PERMANENTS_ACCESSIBLES', 'IMG/');
 }
 
 // inclure l'ecran de securite si il n'a pas été inclus en prepend php
 if (
-	!defined('_ECRAN_SECURITE')
-	and @file_exists($f = _ROOT_RACINE . _NOM_PERMANENTS_INACCESSIBLES . 'ecran_securite.php')
+    !defined('_ECRAN_SECURITE')
+    and @file_exists($f = _ROOT_RACINE . _NOM_PERMANENTS_INACCESSIBLES . 'ecran_securite.php')
 ) {
-	include $f;
+    include $f;
 }
 
 // et on peut lancer l'autoloader
@@ -90,8 +90,8 @@ 
 
 // Icones
 if (!defined('_NOM_IMG_PACK')) {
-	/** Nom du dossier images */
-	define('_NOM_IMG_PACK', 'images/');
+    /** Nom du dossier images */
+    define('_NOM_IMG_PACK', 'images/');
 }
 /** le chemin http (relatif) vers les images standard */
 define('_DIR_IMG_PACK', (_DIR_RACINE . 'prive/' . _NOM_IMG_PACK));
@@ -100,8 +100,8 @@ 
 define('_ROOT_IMG_PACK', dirname(__DIR__) . '/prive/' . _NOM_IMG_PACK);
 
 if (!defined('_JAVASCRIPT')) {
-	/** Nom du repertoire des  bibliotheques JavaScript */
-	define('_JAVASCRIPT', 'javascript/');
+    /** Nom du repertoire des  bibliotheques JavaScript */
+    define('_JAVASCRIPT', 'javascript/');
 } // utilisable avec #CHEMIN et find_in_path
 /** le nom du repertoire des  bibliotheques JavaScript du prive */
 define('_DIR_JAVASCRIPT', (_DIR_RACINE . 'prive/' . _JAVASCRIPT));
@@ -109,28 +109,28 @@ 
 
 /** Le nom du fichier de personnalisation */
 if (!defined('_NOM_CONFIG')) {
-	define('_NOM_CONFIG', 'mes_options');
+    define('_NOM_CONFIG', 'mes_options');
 }
 
 // Son emplacement absolu si on le trouve
 if (
-	@file_exists($f = _ROOT_RACINE . _NOM_PERMANENTS_INACCESSIBLES . _NOM_CONFIG . '.php')
-	or (@file_exists($f = _ROOT_RESTREINT . _NOM_CONFIG . '.php'))
+    @file_exists($f = _ROOT_RACINE . _NOM_PERMANENTS_INACCESSIBLES . _NOM_CONFIG . '.php')
+    or (@file_exists($f = _ROOT_RESTREINT . _NOM_CONFIG . '.php'))
 ) {
-	/** Emplacement absolu du fichier d'option */
-	define('_FILE_OPTIONS', $f);
+    /** Emplacement absolu du fichier d'option */
+    define('_FILE_OPTIONS', $f);
 } else {
-	define('_FILE_OPTIONS', '');
+    define('_FILE_OPTIONS', '');
 }
 
 if (!defined('MODULES_IDIOMES')) {
-	/**
-	 * Modules par défaut pour la traduction.
-	 *
-	 * Constante utilisée par le compilateur et le décompilateur
-	 * sa valeur etant traitée par inc_traduire_dist
-	 */
-	define('MODULES_IDIOMES', 'public|spip|ecrire');
+    /**
+     * Modules par défaut pour la traduction.
+     *
+     * Constante utilisée par le compilateur et le décompilateur
+     * sa valeur etant traitée par inc_traduire_dist
+     */
+    define('MODULES_IDIOMES', 'public|spip|ecrire');
 }
 
 // *** Fin des define *** //
@@ -140,30 +140,30 @@ 
  * Détecteur de robot d'indexation
  */
 if (!defined('_IS_BOT')) {
-	define(
-		'_IS_BOT',
-		isset($_SERVER['HTTP_USER_AGENT'])
-		and preg_match(
-			// mots generiques
-			',bot|slurp|crawler|spider|webvac|yandex|'
-			// MSIE 6.0 est un botnet 99,9% du temps, on traite donc ce USER_AGENT comme un bot
-			. 'MSIE 6\.0|'
-			// UA plus cibles
-			. '80legs|accoona|AltaVista|ASPSeek|Baidu|Charlotte|EC2LinkFinder|eStyle|facebook|flipboard|hootsuite|FunWebProducts|Google|Genieo|INA dlweb|InfegyAtlas|Java VM|LiteFinder|Lycos|MetaURI|Moreover|Rambler|Scooter|ScrubbyBloglines|Yahoo|Yeti'
-			. ',i',
-			(string)$_SERVER['HTTP_USER_AGENT']
-		)
-	);
+    define(
+        '_IS_BOT',
+        isset($_SERVER['HTTP_USER_AGENT'])
+        and preg_match(
+            // mots generiques
+            ',bot|slurp|crawler|spider|webvac|yandex|'
+            // MSIE 6.0 est un botnet 99,9% du temps, on traite donc ce USER_AGENT comme un bot
+            . 'MSIE 6\.0|'
+            // UA plus cibles
+            . '80legs|accoona|AltaVista|ASPSeek|Baidu|Charlotte|EC2LinkFinder|eStyle|facebook|flipboard|hootsuite|FunWebProducts|Google|Genieo|INA dlweb|InfegyAtlas|Java VM|LiteFinder|Lycos|MetaURI|Moreover|Rambler|Scooter|ScrubbyBloglines|Yahoo|Yeti'
+            . ',i',
+            (string)$_SERVER['HTTP_USER_AGENT']
+        )
+    );
 }
 
 if (!defined('_IS_CLI')) {
-	define(
-		'_IS_CLI',
-		!isset($_SERVER['HTTP_HOST'])
-		and !strlen($_SERVER['DOCUMENT_ROOT'])
-		and !empty($_SERVER['argv'])
-		and empty($_SERVER['REQUEST_METHOD'])
-	);
+    define(
+        '_IS_CLI',
+        !isset($_SERVER['HTTP_HOST'])
+        and !strlen($_SERVER['DOCUMENT_ROOT'])
+        and !empty($_SERVER['argv'])
+        and empty($_SERVER['REQUEST_METHOD'])
+    );
 }
 
 // *** Parametrage par defaut de SPIP ***
@@ -175,61 +175,61 @@ 
 // Ne pas les rendre indefinies.
 
 global
-	$nombre_de_logs,
-	$taille_des_logs,
-	$table_prefix,
-	$cookie_prefix,
-	$dossier_squelettes,
-	$filtrer_javascript,
-	$type_urls,
-	$debut_date_publication,
-	$ip,
-	$mysql_rappel_connexion,
-	$mysql_rappel_nom_base,
-	$test_i18n,
-	$ignore_auth_http,
-	$ignore_remote_user,
-	$derniere_modif_invalide,
-	$home_server,
-	$help_server,
-	$url_glossaire_externe,
-	$tex_server,
-	$traiter_math,
-	$xhtml,
-	$xml_indent,
-	$source_vignettes,
-	$formats_logos,
-	$controler_dates_rss,
-	$spip_pipeline,
-	$spip_matrice,
-	$plugins,
-	$surcharges,
-	$exceptions_des_tables,
-	$tables_principales,
-	$table_des_tables,
-	$tables_auxiliaires,
-	$table_primary,
-	$table_date,
-	$table_titre,
-	$tables_jointures,
-	$liste_des_statuts,
-	$liste_des_etats,
-	$liste_des_authentifications,
-	$spip_version_branche,
-	$spip_version_code,
-	$spip_version_base,
-	$spip_sql_version,
-	$spip_version_affichee,
-	$visiteur_session,
-	$auteur_session,
-	$connect_statut,
-	$connect_toutes_rubriques,
-	$hash_recherche,
-	$hash_recherche_strict,
-	$ldap_present,
-	$meta,
-	$connect_id_rubrique,
-	$puce;
+    $nombre_de_logs,
+    $taille_des_logs,
+    $table_prefix,
+    $cookie_prefix,
+    $dossier_squelettes,
+    $filtrer_javascript,
+    $type_urls,
+    $debut_date_publication,
+    $ip,
+    $mysql_rappel_connexion,
+    $mysql_rappel_nom_base,
+    $test_i18n,
+    $ignore_auth_http,
+    $ignore_remote_user,
+    $derniere_modif_invalide,
+    $home_server,
+    $help_server,
+    $url_glossaire_externe,
+    $tex_server,
+    $traiter_math,
+    $xhtml,
+    $xml_indent,
+    $source_vignettes,
+    $formats_logos,
+    $controler_dates_rss,
+    $spip_pipeline,
+    $spip_matrice,
+    $plugins,
+    $surcharges,
+    $exceptions_des_tables,
+    $tables_principales,
+    $table_des_tables,
+    $tables_auxiliaires,
+    $table_primary,
+    $table_date,
+    $table_titre,
+    $tables_jointures,
+    $liste_des_statuts,
+    $liste_des_etats,
+    $liste_des_authentifications,
+    $spip_version_branche,
+    $spip_version_code,
+    $spip_version_base,
+    $spip_sql_version,
+    $spip_version_affichee,
+    $visiteur_session,
+    $auteur_session,
+    $connect_statut,
+    $connect_toutes_rubriques,
+    $hash_recherche,
+    $hash_recherche_strict,
+    $ldap_present,
+    $meta,
+    $connect_id_rubrique,
+    $puce;
 
 # comment on logge, defaut 4 tmp/spip.log de 100k, 0 ou 0 suppriment le log
 $nombre_de_logs = 4;
@@ -284,48 +284,48 @@ 
 // Prendre en compte les entetes HTTP_X_FORWARDED_XX
 //
 if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) and $_SERVER['HTTP_X_FORWARDED_PROTO'] === 'https') {
-	if (empty($_SERVER['HTTP_X_FORWARDED_HOST'])) {
-		$_SERVER['HTTP_X_FORWARDED_HOST'] = $_SERVER['HTTP_HOST'];
-	}
-	if (empty($_SERVER['HTTP_X_FORWARDED_PORT'])) {
-		$_SERVER['HTTP_X_FORWARDED_PORT'] = 443;
-	}
+    if (empty($_SERVER['HTTP_X_FORWARDED_HOST'])) {
+        $_SERVER['HTTP_X_FORWARDED_HOST'] = $_SERVER['HTTP_HOST'];
+    }
+    if (empty($_SERVER['HTTP_X_FORWARDED_PORT'])) {
+        $_SERVER['HTTP_X_FORWARDED_PORT'] = 443;
+    }
 }
 if (isset($_SERVER['HTTP_X_FORWARDED_HOST'])) {
-	if (isset($_SERVER['HTTP_X_FORWARDED_PORT']) and is_numeric($_SERVER['HTTP_X_FORWARDED_PORT'])) {
-		$_SERVER['SERVER_PORT'] = $_SERVER['HTTP_X_FORWARDED_PORT'];
-		if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) and $_SERVER['HTTP_X_FORWARDED_PROTO'] === 'https') {
-			$_SERVER['HTTPS'] = 'on';
-			if (isset($_SERVER['REQUEST_SCHEME'])) {
-				$_SERVER['REQUEST_SCHEME'] = 'https';
-			}
-		}
-	}
-	$host = $_SERVER['HTTP_X_FORWARDED_HOST'];
-	if (strpos($host, ',') !== false) {
-		$h = explode(',', $host);
-		$host = trim(reset($h));
-	}
-	// securite sur le contenu de l'entete
-	$host = strtr($host, "<>?\"\{\}\$'` \r\n", '____________');
-	$_SERVER['HTTP_HOST'] = $host;
+    if (isset($_SERVER['HTTP_X_FORWARDED_PORT']) and is_numeric($_SERVER['HTTP_X_FORWARDED_PORT'])) {
+        $_SERVER['SERVER_PORT'] = $_SERVER['HTTP_X_FORWARDED_PORT'];
+        if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) and $_SERVER['HTTP_X_FORWARDED_PROTO'] === 'https') {
+            $_SERVER['HTTPS'] = 'on';
+            if (isset($_SERVER['REQUEST_SCHEME'])) {
+                $_SERVER['REQUEST_SCHEME'] = 'https';
+            }
+        }
+    }
+    $host = $_SERVER['HTTP_X_FORWARDED_HOST'];
+    if (strpos($host, ',') !== false) {
+        $h = explode(',', $host);
+        $host = trim(reset($h));
+    }
+    // securite sur le contenu de l'entete
+    $host = strtr($host, "<>?\"\{\}\$'` \r\n", '____________');
+    $_SERVER['HTTP_HOST'] = $host;
 }
 //
 // On note le numero IP du client dans la variable $ip
 //
 if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
-	$ip = $_SERVER['HTTP_X_FORWARDED_FOR'];
-	if (strpos($ip, ',') !== false) {
-		$ip = explode(',', $ip);
-		$ip = reset($ip);
-	}
-	// ecraser $_SERVER['REMOTE_ADDR'] si elle est en localhost
-	if (isset($_SERVER['REMOTE_ADDR']) and $_SERVER['REMOTE_ADDR'] === '127.0.0.1') {
-		$_SERVER['REMOTE_ADDR'] = $ip;
-	}
+    $ip = $_SERVER['HTTP_X_FORWARDED_FOR'];
+    if (strpos($ip, ',') !== false) {
+        $ip = explode(',', $ip);
+        $ip = reset($ip);
+    }
+    // ecraser $_SERVER['REMOTE_ADDR'] si elle est en localhost
+    if (isset($_SERVER['REMOTE_ADDR']) and $_SERVER['REMOTE_ADDR'] === '127.0.0.1') {
+        $_SERVER['REMOTE_ADDR'] = $ip;
+    }
 }
 if (isset($_SERVER['REMOTE_ADDR'])) {
-	$ip = $_SERVER['REMOTE_ADDR'];
+    $ip = $_SERVER['REMOTE_ADDR'];
 }
 
 // Pour renforcer la privacy, decommentez la ligne ci-dessous (ou recopiez-la
@@ -410,24 +410,24 @@ 
 
 // Liste des statuts.
 $liste_des_statuts = [
-	'info_administrateurs' => '0minirezo',
-	'info_redacteurs' => '1comite',
-	'info_visiteurs' => '6forum',
-	'texte_statut_poubelle' => '5poubelle'
+    'info_administrateurs' => '0minirezo',
+    'info_redacteurs' => '1comite',
+    'info_visiteurs' => '6forum',
+    'texte_statut_poubelle' => '5poubelle'
 ];
 
 $liste_des_etats = [
-	'texte_statut_en_cours_redaction' => 'prepa',
-	'texte_statut_propose_evaluation' => 'prop',
-	'texte_statut_publie' => 'publie',
-	'texte_statut_poubelle' => 'poubelle',
-	'texte_statut_refuse' => 'refuse'
+    'texte_statut_en_cours_redaction' => 'prepa',
+    'texte_statut_propose_evaluation' => 'prop',
+    'texte_statut_publie' => 'publie',
+    'texte_statut_poubelle' => 'poubelle',
+    'texte_statut_refuse' => 'refuse'
 ];
 
 // liste des methodes d'authentifications
 $liste_des_authentifications = [
-	'spip' => 'spip',
-	'ldap' => 'ldap'
+    'spip' => 'spip',
+    'ldap' => 'ldap'
 ];
 
 // Experimental : pour supprimer systematiquement l'affichage des numeros
@@ -477,12 +477,12 @@ 
 // Definition personnelles eventuelles
 
 if (_FILE_OPTIONS) {
-	include_once _FILE_OPTIONS;
+    include_once _FILE_OPTIONS;
 }
 
 if (!defined('SPIP_ERREUR_REPORT')) {
-	/** Masquer les warning */
-	define('SPIP_ERREUR_REPORT', E_ALL ^ E_NOTICE ^ E_DEPRECATED);
+    /** Masquer les warning */
+    define('SPIP_ERREUR_REPORT', E_ALL ^ E_NOTICE ^ E_DEPRECATED);
 }
 error_reporting(SPIP_ERREUR_REPORT);
 
@@ -495,10 +495,10 @@ 
 // ===> on execute en neutralisant les messages d'erreur
 
 spip_initialisation_core(
-	(_DIR_RACINE . _NOM_PERMANENTS_INACCESSIBLES),
-	(_DIR_RACINE . _NOM_PERMANENTS_ACCESSIBLES),
-	(_DIR_RACINE . _NOM_TEMPORAIRES_INACCESSIBLES),
-	(_DIR_RACINE . _NOM_TEMPORAIRES_ACCESSIBLES)
+    (_DIR_RACINE . _NOM_PERMANENTS_INACCESSIBLES),
+    (_DIR_RACINE . _NOM_PERMANENTS_ACCESSIBLES),
+    (_DIR_RACINE . _NOM_TEMPORAIRES_INACCESSIBLES),
+    (_DIR_RACINE . _NOM_TEMPORAIRES_ACCESSIBLES)
 );
 
 
@@ -508,71 +508,71 @@ 
 // donc il faut avoir tout fini ici avant de charger les plugins
 
 if (@is_readable(_CACHE_PLUGINS_OPT) and @is_readable(_CACHE_PLUGINS_PATH)) {
-	// chargement optimise precompile
-	include_once(_CACHE_PLUGINS_OPT);
+    // chargement optimise precompile
+    include_once(_CACHE_PLUGINS_OPT);
 } else {
-	spip_initialisation_suite();
-	include_spip('inc/plugin');
-	// generer les fichiers php precompiles
-	// de chargement des plugins et des pipelines
-	actualise_plugins_actifs();
+    spip_initialisation_suite();
+    include_spip('inc/plugin');
+    // generer les fichiers php precompiles
+    // de chargement des plugins et des pipelines
+    actualise_plugins_actifs();
 }
 
 // Initialisations non critiques surchargeables par les plugins
 spip_initialisation_suite();
 
 if (!defined('_LOG_FILTRE_GRAVITE')) {
-	/** niveau maxi d'enregistrement des logs */
-	define('_LOG_FILTRE_GRAVITE', _LOG_INFO_IMPORTANTE);
+    /** niveau maxi d'enregistrement des logs */
+    define('_LOG_FILTRE_GRAVITE', _LOG_INFO_IMPORTANTE);
 }
 
 if (!defined('_OUTILS_DEVELOPPEURS')) {
-	/** Activer des outils pour développeurs ? */
-	define('_OUTILS_DEVELOPPEURS', false);
+    /** Activer des outils pour développeurs ? */
+    define('_OUTILS_DEVELOPPEURS', false);
 }
 
 // charger systematiquement inc/autoriser dans l'espace restreint
 if (test_espace_prive()) {
-	include_spip('inc/autoriser');
+    include_spip('inc/autoriser');
 }
 //
 // Installer Spip si pas installe... sauf si justement on est en train
 //
 if (
-	!(_FILE_CONNECT
-	or autoriser_sans_cookie(_request('exec'))
-	or _request('action') == 'cookie'
-	or _request('action') == 'converser'
-	or _request('action') == 'test_dirs')
+    !(_FILE_CONNECT
+    or autoriser_sans_cookie(_request('exec'))
+    or _request('action') == 'cookie'
+    or _request('action') == 'converser'
+    or _request('action') == 'test_dirs')
 ) {
-	// Si on peut installer, on lance illico
-	if (test_espace_prive()) {
-		include_spip('inc/headers');
-		redirige_url_ecrire('install');
-	} else {
-		// Si on est dans le site public, dire que qq s'en occupe
-		include_spip('inc/lang');
-		utiliser_langue_visiteur();
-		include_spip('inc/minipres');
-		echo minipres(_T('info_travaux_titre'), "<p style='text-align: center;'>" . _T('info_travaux_texte') . '</p>', ['status' => 503]);
-		exit;
-	}
-	// autrement c'est une install ad hoc (spikini...), on sait pas faire
+    // Si on peut installer, on lance illico
+    if (test_espace_prive()) {
+        include_spip('inc/headers');
+        redirige_url_ecrire('install');
+    } else {
+        // Si on est dans le site public, dire que qq s'en occupe
+        include_spip('inc/lang');
+        utiliser_langue_visiteur();
+        include_spip('inc/minipres');
+        echo minipres(_T('info_travaux_titre'), "<p style='text-align: center;'>" . _T('info_travaux_texte') . '</p>', ['status' => 503]);
+        exit;
+    }
+    // autrement c'est une install ad hoc (spikini...), on sait pas faire
 }
 
 // memoriser un tri sessionne eventuel
 if (
-	isset($_REQUEST['var_memotri'])
-	and $t = $_REQUEST['var_memotri']
-	and (strncmp($t, 'trisession', 10) == 0 or strncmp($t, 'senssession', 11) == 0)
+    isset($_REQUEST['var_memotri'])
+    and $t = $_REQUEST['var_memotri']
+    and (strncmp($t, 'trisession', 10) == 0 or strncmp($t, 'senssession', 11) == 0)
 ) {
-	if (!function_exists('session_set')) {
-		include_spip('inc/session');
-	}
-	$t = preg_replace(',\W,', '_', $t);
-	if ($v = _request($t)) {
-		session_set($t, $v);
-	}
+    if (!function_exists('session_set')) {
+        include_spip('inc/session');
+    }
+    $t = preg_replace(',\W,', '_', $t);
+    if ($v = _request($t)) {
+        session_set($t, $v);
+    }
 }
 
 /**
@@ -582,22 +582,22 @@ 
  * La globale $spip_header_silencieux permet de rendre le header minimal pour raisons de securite
  */
 if (!defined('_HEADER_COMPOSED_BY')) {
-	define('_HEADER_COMPOSED_BY', 'Composed-By: SPIP');
+    define('_HEADER_COMPOSED_BY', 'Composed-By: SPIP');
 }
 if (!headers_sent() and _HEADER_COMPOSED_BY) {
-	if (!defined('_HEADER_VARY')) {
-		define('_HEADER_VARY', 'Vary: Cookie, Accept-Encoding');
-	}
-	if (_HEADER_VARY) {
-		header(_HEADER_VARY);
-	}
-	if (!isset($GLOBALS['spip_header_silencieux']) or !$GLOBALS['spip_header_silencieux']) {
-		include_spip('inc/filtres_mini');
-		header(_HEADER_COMPOSED_BY . " $spip_version_affichee @ www.spip.net + " . url_absolue(_DIR_VAR . 'config.txt'));
-	} else {
-		// header minimal
-		header(_HEADER_COMPOSED_BY . ' @ www.spip.net');
-	}
+    if (!defined('_HEADER_VARY')) {
+        define('_HEADER_VARY', 'Vary: Cookie, Accept-Encoding');
+    }
+    if (_HEADER_VARY) {
+        header(_HEADER_VARY);
+    }
+    if (!isset($GLOBALS['spip_header_silencieux']) or !$GLOBALS['spip_header_silencieux']) {
+        include_spip('inc/filtres_mini');
+        header(_HEADER_COMPOSED_BY . " $spip_version_affichee @ www.spip.net + " . url_absolue(_DIR_VAR . 'config.txt'));
+    } else {
+        // header minimal
+        header(_HEADER_COMPOSED_BY . ' @ www.spip.net');
+    }
 }
 
 $methode = ($_SERVER['REQUEST_METHOD'] ?? ((php_sapi_name() == 'cli') ? 'cli' : ''));

ecrire/balise/formulaire_.php

Indentation +257 added lines, -257 removed lines

@@ -15,7 +15,7 @@ 
  * @package SPIP\Core\Formulaires
  **/
 if (!defined('_ECRIRE_INC_VERSION')) {
-	return;
+    return;
 }
 
 include_spip('inc/filtres');
@@ -34,28 +34,28 @@ 
  * @see spip_htmlspecialchars()
  */
 function protege_champ($valeur, $max_prof = 128) {
-	if (is_array($valeur)) {
-		if ($max_prof > 0) {
-			return array_map(
-				function($v) use ($max_prof) {
-					return protege_champ($v, $max_prof-1);
-				},
-				$valeur
-			);
-		}
-		// si on dépasse la prof max on tronque
-		return [];
-	} elseif ($valeur === null) {
-		return $valeur;
-	} elseif (is_bool($valeur)) {
-		return $valeur ? '1' : '';
-	} elseif (is_string($valeur) and $valeur) {
-		if (strpbrk($valeur, "&\"'<>") !== false) {
-			return spip_htmlspecialchars($valeur, ENT_QUOTES);
-		}
-	}
-
-	return $valeur;
+    if (is_array($valeur)) {
+        if ($max_prof > 0) {
+            return array_map(
+                function($v) use ($max_prof) {
+                    return protege_champ($v, $max_prof-1);
+                },
+                $valeur
+            );
+        }
+        // si on dépasse la prof max on tronque
+        return [];
+    } elseif ($valeur === null) {
+        return $valeur;
+    } elseif (is_bool($valeur)) {
+        return $valeur ? '1' : '';
+    } elseif (is_string($valeur) and $valeur) {
+        if (strpbrk($valeur, "&\"'<>") !== false) {
+            return spip_htmlspecialchars($valeur, ENT_QUOTES);
+        }
+    }
+
+    return $valeur;
 }
 
 /**
@@ -69,17 +69,17 @@ 
  *     - false : pas de squelette trouvé
  **/
 function existe_formulaire($form) {
-	if (substr($form, 0, 11) == 'FORMULAIRE_') {
-		$form = strtolower(substr($form, 11));
-	} else {
-		$form = strtolower($form);
-	}
+    if (substr($form, 0, 11) == 'FORMULAIRE_') {
+        $form = strtolower(substr($form, 11));
+    } else {
+        $form = strtolower($form);
+    }
 
-	if (!$form) {
-		return '';
-	} // on ne sait pas, le nom du formulaire n'est pas fourni ici
+    if (!$form) {
+        return '';
+    } // on ne sait pas, le nom du formulaire n'est pas fourni ici
 
-	return trouver_fond($form, 'formulaires/') ? $form : false;
+    return trouver_fond($form, 'formulaires/') ? $form : false;
 }
 
 /**
@@ -88,31 +88,31 @@ 
  * @return false|array
  */
 function test_formulaire_inclus_par_modele() {
-	$trace = debug_backtrace(0, 20);
-	$trace_fonctions = array_column($trace, 'function');
-	$trace_fonctions = array_map('strtolower', $trace_fonctions);
-
-	// regarder si un flag a ete leve juste avant l'appel de balise_FORMULAIRE_dyn
-	if (
-		function_exists('arguments_balise_dyn_depuis_modele')
-		and $form = arguments_balise_dyn_depuis_modele(null, 'read')
-	) {
-		if (in_array('balise_formulaire__dyn', $trace_fonctions)) {
-			$k = array_search('balise_formulaire__dyn', $trace_fonctions);
-			if ($trace[$k]['args'][0] === $form) {
-				return $trace[$k]['args'];
-			}
-		}
-	}
-
-	// fallback qui ne repose pas sur le flag lie a l'analyse de contexte_compil,
-	// mais ne marche pas si executer_balise_dynamique est appelee via du php dans le squelette
-	if (in_array('eval', $trace_fonctions) and in_array('inclure_modele', $trace_fonctions)) {
-		$k = array_search('inclure_modele', $trace_fonctions);
-		// les arguments de recuperer_fond() passes par inclure_modele()
-		return $trace[$k - 1]['args'][1]['args'];
-	}
-	return false;
+    $trace = debug_backtrace(0, 20);
+    $trace_fonctions = array_column($trace, 'function');
+    $trace_fonctions = array_map('strtolower', $trace_fonctions);
+
+    // regarder si un flag a ete leve juste avant l'appel de balise_FORMULAIRE_dyn
+    if (
+        function_exists('arguments_balise_dyn_depuis_modele')
+        and $form = arguments_balise_dyn_depuis_modele(null, 'read')
+    ) {
+        if (in_array('balise_formulaire__dyn', $trace_fonctions)) {
+            $k = array_search('balise_formulaire__dyn', $trace_fonctions);
+            if ($trace[$k]['args'][0] === $form) {
+                return $trace[$k]['args'];
+            }
+        }
+    }
+
+    // fallback qui ne repose pas sur le flag lie a l'analyse de contexte_compil,
+    // mais ne marche pas si executer_balise_dynamique est appelee via du php dans le squelette
+    if (in_array('eval', $trace_fonctions) and in_array('inclure_modele', $trace_fonctions)) {
+        $k = array_search('inclure_modele', $trace_fonctions);
+        // les arguments de recuperer_fond() passes par inclure_modele()
+        return $trace[$k - 1]['args'][1]['args'];
+    }
+    return false;
 }
 
 /**
@@ -127,19 +127,19 @@ 
  **/
 function balise_FORMULAIRE__dist($p) {
 
-	// Cas d'un #FORMULAIRE_TOTO inexistant : renvoyer la chaine vide.
-	// mais si #FORMULAIRE_{toto} on ne peut pas savoir a la compilation, continuer
-	if (existe_formulaire($p->nom_champ) === false) {
-		$p->code = "''";
-		$p->interdire_scripts = false;
+    // Cas d'un #FORMULAIRE_TOTO inexistant : renvoyer la chaine vide.
+    // mais si #FORMULAIRE_{toto} on ne peut pas savoir a la compilation, continuer
+    if (existe_formulaire($p->nom_champ) === false) {
+        $p->code = "''";
+        $p->interdire_scripts = false;
 
-		return $p;
-	}
+        return $p;
+    }
 
-	// sinon renvoyer un code php dynamique
-	$p = calculer_balise_dynamique($p, $p->nom_champ, []);
+    // sinon renvoyer un code php dynamique
+    $p = calculer_balise_dynamique($p, $p->nom_champ, []);
 
-	return $p;
+    return $p;
 }
 
 /**
@@ -159,17 +159,17 @@ 
  *     - string : texte à afficher directement
  */
 function balise_FORMULAIRE__dyn($form, ...$args) {
-	$form = existe_formulaire($form);
-	if (!$form) {
-		return '';
-	}
+    $form = existe_formulaire($form);
+    if (!$form) {
+        return '';
+    }
 
-	$contexte = balise_FORMULAIRE__contexte($form, $args);
-	if (!is_array($contexte)) {
-		return $contexte;
-	}
+    $contexte = balise_FORMULAIRE__contexte($form, $args);
+    if (!is_array($contexte)) {
+        return $contexte;
+    }
 
-	return ["formulaires/$form", 3600, $contexte];
+    return ["formulaires/$form", 3600, $contexte];
 }
 
 /**
@@ -184,85 +184,85 @@ 
  *     string: Formulaire non applicable (message d’explication)
  **/
 function balise_FORMULAIRE__contexte($form, $args) {
-	// tester si ce formulaire vient d'etre poste (memes arguments)
-	// pour ne pas confondre 2 #FORMULAIRES_XX identiques sur une meme page
-	// si poste, on recupere les erreurs
-
-	$je_suis_poste = false;
-	if (
-		$post_form = _request('formulaire_action')
-		and $post_form == $form
-		and $p = _request('formulaire_action_args')
-		and is_array($p = decoder_contexte_ajax($p, $post_form))
-	) {
-		// enlever le faux attribut de langue masque
-		array_shift($p);
-		if (formulaire__identifier($form, $args, $p)) {
-			$je_suis_poste = true;
-		}
-	}
-
-	$editable = true;
-	$erreurs = $post = [];
-	if ($je_suis_poste) {
-		$post = traiter_formulaires_dynamiques(true);
-		$e = "erreurs_$form";
-		$erreurs = $post[$e] ?? [];
-		$editable = "editable_$form";
-		$editable = (!isset($post[$e]))
-			|| (is_countable($erreurs) ? count($erreurs) : 0)
-			|| (isset($post[$editable]) && $post[$editable]);
-	}
-
-	$valeurs = formulaire__charger($form, $args, $je_suis_poste);
-
-	// si $valeurs n'est pas un tableau, le formulaire n'est pas applicable
-	// C'est plus fort qu'editable qui est gere par le squelette
-	// Idealement $valeur doit etre alors un message explicatif.
-	if (!is_array($valeurs)) {
-		return is_string($valeurs) ? $valeurs : '';
-	}
-
-	// charger peut passer une action si le formulaire ne tourne pas sur self()
-	// ou une action vide si elle ne sert pas
-	$action = $valeurs['action'] ?? self('&amp;', true);
-	// bug IEx : si action finit par /
-	// IE croit que le <form ... action=../ > est autoferme
-	if (substr($action, -1) == '/') {
-		// on ajoute une ancre pour feinter IE, au pire ca tue l'ancre qui finit par un /
-		$action .= '#';
-	}
-
-	// recuperer la saisie en cours si erreurs
-	// seulement si c'est ce formulaire qui est poste
-	// ou si on le demande explicitement par le parametre _forcer_request = true
-	$dispo = ($je_suis_poste || (isset($valeurs['_forcer_request']) && $valeurs['_forcer_request']));
-	foreach (array_keys($valeurs) as $champ) {
-		if ($champ[0] !== '_' and !in_array($champ, ['message_ok', 'message_erreur', 'editable'])) {
-			if ($dispo and (($v = _request($champ)) !== null)) {
-				$valeurs[$champ] = $v;
-			}
-			// nettoyer l'url des champs qui vont etre saisis
-			if ($action) {
-				$action = parametre_url($action, $champ, '');
-			}
-			// proteger les ' et les " dans les champs que l'on va injecter
-			$valeurs[$champ] = protege_champ($valeurs[$champ]);
-		}
-	}
-
-	if ($action) {
-		// nettoyer l'url
-		$action = parametre_url($action, 'formulaire_action', '');
-		$action = parametre_url($action, 'formulaire_action_args', '');
-		$action = parametre_url($action, 'formulaire_action_sign', '');
-	}
-
-	/**
-	 * @deprecated 4.0
-	 * servait pour poster sur les actions de type editer_xxx() qui ne prenaient pas d'argument autrement que par _request('arg') et pour lesquelles il fallait donc passer un hash valide
-	 */
-	/*
+    // tester si ce formulaire vient d'etre poste (memes arguments)
+    // pour ne pas confondre 2 #FORMULAIRES_XX identiques sur une meme page
+    // si poste, on recupere les erreurs
+
+    $je_suis_poste = false;
+    if (
+        $post_form = _request('formulaire_action')
+        and $post_form == $form
+        and $p = _request('formulaire_action_args')
+        and is_array($p = decoder_contexte_ajax($p, $post_form))
+    ) {
+        // enlever le faux attribut de langue masque
+        array_shift($p);
+        if (formulaire__identifier($form, $args, $p)) {
+            $je_suis_poste = true;
+        }
+    }
+
+    $editable = true;
+    $erreurs = $post = [];
+    if ($je_suis_poste) {
+        $post = traiter_formulaires_dynamiques(true);
+        $e = "erreurs_$form";
+        $erreurs = $post[$e] ?? [];
+        $editable = "editable_$form";
+        $editable = (!isset($post[$e]))
+            || (is_countable($erreurs) ? count($erreurs) : 0)
+            || (isset($post[$editable]) && $post[$editable]);
+    }
+
+    $valeurs = formulaire__charger($form, $args, $je_suis_poste);
+
+    // si $valeurs n'est pas un tableau, le formulaire n'est pas applicable
+    // C'est plus fort qu'editable qui est gere par le squelette
+    // Idealement $valeur doit etre alors un message explicatif.
+    if (!is_array($valeurs)) {
+        return is_string($valeurs) ? $valeurs : '';
+    }
+
+    // charger peut passer une action si le formulaire ne tourne pas sur self()
+    // ou une action vide si elle ne sert pas
+    $action = $valeurs['action'] ?? self('&amp;', true);
+    // bug IEx : si action finit par /
+    // IE croit que le <form ... action=../ > est autoferme
+    if (substr($action, -1) == '/') {
+        // on ajoute une ancre pour feinter IE, au pire ca tue l'ancre qui finit par un /
+        $action .= '#';
+    }
+
+    // recuperer la saisie en cours si erreurs
+    // seulement si c'est ce formulaire qui est poste
+    // ou si on le demande explicitement par le parametre _forcer_request = true
+    $dispo = ($je_suis_poste || (isset($valeurs['_forcer_request']) && $valeurs['_forcer_request']));
+    foreach (array_keys($valeurs) as $champ) {
+        if ($champ[0] !== '_' and !in_array($champ, ['message_ok', 'message_erreur', 'editable'])) {
+            if ($dispo and (($v = _request($champ)) !== null)) {
+                $valeurs[$champ] = $v;
+            }
+            // nettoyer l'url des champs qui vont etre saisis
+            if ($action) {
+                $action = parametre_url($action, $champ, '');
+            }
+            // proteger les ' et les " dans les champs que l'on va injecter
+            $valeurs[$champ] = protege_champ($valeurs[$champ]);
+        }
+    }
+
+    if ($action) {
+        // nettoyer l'url
+        $action = parametre_url($action, 'formulaire_action', '');
+        $action = parametre_url($action, 'formulaire_action_args', '');
+        $action = parametre_url($action, 'formulaire_action_sign', '');
+    }
+
+    /**
+     * @deprecated 4.0
+     * servait pour poster sur les actions de type editer_xxx() qui ne prenaient pas d'argument autrement que par _request('arg') et pour lesquelles il fallait donc passer un hash valide
+     */
+    /*
 	if (isset($valeurs['_action'])) {
 		$securiser_action = charger_fonction('securiser_action', 'inc');
 		$secu = $securiser_action(reset($valeurs['_action']), end($valeurs['_action']), '', -1);
@@ -272,59 +272,59 @@ 
 	}
 	*/
 
-	// empiler la lang en tant que premier argument implicite du CVT
-	// pour permettre de la restaurer au moment du Verifier et du Traiter
-	array_unshift($args, $GLOBALS['spip_lang']);
-
-	$valeurs['formulaire_args'] = encoder_contexte_ajax($args, $form);
-	$valeurs['erreurs'] = $erreurs;
-	$valeurs['action'] = $action;
-	$valeurs['form'] = $form;
-
-	$valeurs['formulaire_sign'] = '';
-	if (!empty($GLOBALS['visiteur_session']['id_auteur'])) {
-		$securiser_action = charger_fonction('securiser_action', 'inc');
-		$secu = $securiser_action($valeurs['form'], $valeurs['formulaire_args'], '', -1);
-		$valeurs['formulaire_sign'] = $secu['hash'];
-	}
-
-	if (!isset($valeurs['id'])) {
-		$valeurs['id'] = 'new';
-	}
-	// editable peut venir de charger() ou de traiter() sinon
-	if (!isset($valeurs['editable'])) {
-		$valeurs['editable'] = $editable;
-	}
-	// dans tous les cas, renvoyer un espace ou vide (et pas un booleen)
-	$valeurs['editable'] = ($valeurs['editable'] ? ' ' : '');
-
-	if ($je_suis_poste) {
-		$valeurs['message_erreur'] = '';
-		if (isset($erreurs['message_erreur'])) {
-			$valeurs['message_erreur'] = $erreurs['message_erreur'];
-		}
-
-		$valeurs['message_ok'] = '';
-		if (isset($post["message_ok_$form"])) {
-			$valeurs['message_ok'] = $post["message_ok_$form"];
-		} elseif (isset($erreurs['message_ok'])) {
-			$valeurs['message_ok'] = $erreurs['message_ok'];
-		}
-
-		// accessibilite : encapsuler toutes les erreurs dans un role='alert'
-		// uniquement si c'est une string et au premier niveau (on ne touche pas au tableaux)
-		// et si $k ne commence pas par un _ (c'est bien une vrai erreur sur un vrai champ)
-		if (html5_permis()) {
-			foreach ($erreurs as $k => $v) {
-				if (is_string($v) and strlen(trim($v)) and strpos($k, '_') !== 0) {
-					// on encapsule dans un span car ces messages sont en general simple, juste du texte, et deja dans un span dans le form
-					$valeurs['erreurs'][$k] = "<span role='alert'>" . $erreurs[$k] . '</span>';
-				}
-			}
-		}
-	}
-
-	return $valeurs;
+    // empiler la lang en tant que premier argument implicite du CVT
+    // pour permettre de la restaurer au moment du Verifier et du Traiter
+    array_unshift($args, $GLOBALS['spip_lang']);
+
+    $valeurs['formulaire_args'] = encoder_contexte_ajax($args, $form);
+    $valeurs['erreurs'] = $erreurs;
+    $valeurs['action'] = $action;
+    $valeurs['form'] = $form;
+
+    $valeurs['formulaire_sign'] = '';
+    if (!empty($GLOBALS['visiteur_session']['id_auteur'])) {
+        $securiser_action = charger_fonction('securiser_action', 'inc');
+        $secu = $securiser_action($valeurs['form'], $valeurs['formulaire_args'], '', -1);
+        $valeurs['formulaire_sign'] = $secu['hash'];
+    }
+
+    if (!isset($valeurs['id'])) {
+        $valeurs['id'] = 'new';
+    }
+    // editable peut venir de charger() ou de traiter() sinon
+    if (!isset($valeurs['editable'])) {
+        $valeurs['editable'] = $editable;
+    }
+    // dans tous les cas, renvoyer un espace ou vide (et pas un booleen)
+    $valeurs['editable'] = ($valeurs['editable'] ? ' ' : '');
+
+    if ($je_suis_poste) {
+        $valeurs['message_erreur'] = '';
+        if (isset($erreurs['message_erreur'])) {
+            $valeurs['message_erreur'] = $erreurs['message_erreur'];
+        }
+
+        $valeurs['message_ok'] = '';
+        if (isset($post["message_ok_$form"])) {
+            $valeurs['message_ok'] = $post["message_ok_$form"];
+        } elseif (isset($erreurs['message_ok'])) {
+            $valeurs['message_ok'] = $erreurs['message_ok'];
+        }
+
+        // accessibilite : encapsuler toutes les erreurs dans un role='alert'
+        // uniquement si c'est une string et au premier niveau (on ne touche pas au tableaux)
+        // et si $k ne commence pas par un _ (c'est bien une vrai erreur sur un vrai champ)
+        if (html5_permis()) {
+            foreach ($erreurs as $k => $v) {
+                if (is_string($v) and strlen(trim($v)) and strpos($k, '_') !== 0) {
+                    // on encapsule dans un span car ces messages sont en general simple, juste du texte, et deja dans un span dans le form
+                    $valeurs['erreurs'][$k] = "<span role='alert'>" . $erreurs[$k] . '</span>';
+                }
+            }
+        }
+    }
+
+    return $valeurs;
 }
 
 /**
@@ -336,51 +336,51 @@ 
  * @return array
  */
 function formulaire__charger($form, $args, $poste) {
-	if ($charger_valeurs = charger_fonction('charger', "formulaires/$form", true)) {
-		$valeurs = $charger_valeurs(...$args);
-	} else {
-		$valeurs = [];
-	}
-
-	$valeurs = pipeline(
-		'formulaire_charger',
-		[
-			'args' => ['form' => $form, 'args' => $args, 'je_suis_poste' => $poste],
-			'data' => $valeurs
-		]
-	);
-
-	// prise en charge CVT multi etape
-	if (is_array($valeurs) and isset($valeurs['_etapes'])) {
-		include_spip('inc/cvt_multietapes');
-		$valeurs = cvtmulti_formulaire_charger_etapes(
-			['form' => $form, 'args' => $args, 'je_suis_poste' => $poste],
-			$valeurs
-		);
-	}
-
-	// si $valeurs et false ou une chaine, pas de formulaire, donc pas de pipeline !
-	if (is_array($valeurs)) {
-		if (!isset($valeurs['_pipelines'])) {
-			$valeurs['_pipelines'] = [];
-		}
-		// l'ancien argument _pipeline devient maintenant _pipelines
-		// reinjectons le vieux _pipeline au debut de _pipelines
-		if (isset($valeurs['_pipeline'])) {
-			$pipe = is_array($valeurs['_pipeline']) ? reset($valeurs['_pipeline']) : $valeurs['_pipeline'];
-			$args = is_array($valeurs['_pipeline']) ? end($valeurs['_pipeline']) : [];
-
-			$pipelines = [$pipe => $args];
-			$valeurs['_pipelines'] = array_merge($pipelines, $valeurs['_pipelines']);
-		}
-
-		// et enfin, ajoutons systematiquement un pipeline sur le squelette du formulaire
-		// qui constitue le cas le plus courant d'utilisation du pipeline recuperer_fond
-		// (performance, cela evite de s'injecter dans recuperer_fond utilise pour *tous* les squelettes)
-		$valeurs['_pipelines']['formulaire_fond'] = ['form' => $form, 'args' => $args, 'je_suis_poste' => $poste];
-	}
-
-	return $valeurs;
+    if ($charger_valeurs = charger_fonction('charger', "formulaires/$form", true)) {
+        $valeurs = $charger_valeurs(...$args);
+    } else {
+        $valeurs = [];
+    }
+
+    $valeurs = pipeline(
+        'formulaire_charger',
+        [
+            'args' => ['form' => $form, 'args' => $args, 'je_suis_poste' => $poste],
+            'data' => $valeurs
+        ]
+    );
+
+    // prise en charge CVT multi etape
+    if (is_array($valeurs) and isset($valeurs['_etapes'])) {
+        include_spip('inc/cvt_multietapes');
+        $valeurs = cvtmulti_formulaire_charger_etapes(
+            ['form' => $form, 'args' => $args, 'je_suis_poste' => $poste],
+            $valeurs
+        );
+    }
+
+    // si $valeurs et false ou une chaine, pas de formulaire, donc pas de pipeline !
+    if (is_array($valeurs)) {
+        if (!isset($valeurs['_pipelines'])) {
+            $valeurs['_pipelines'] = [];
+        }
+        // l'ancien argument _pipeline devient maintenant _pipelines
+        // reinjectons le vieux _pipeline au debut de _pipelines
+        if (isset($valeurs['_pipeline'])) {
+            $pipe = is_array($valeurs['_pipeline']) ? reset($valeurs['_pipeline']) : $valeurs['_pipeline'];
+            $args = is_array($valeurs['_pipeline']) ? end($valeurs['_pipeline']) : [];
+
+            $pipelines = [$pipe => $args];
+            $valeurs['_pipelines'] = array_merge($pipelines, $valeurs['_pipelines']);
+        }
+
+        // et enfin, ajoutons systematiquement un pipeline sur le squelette du formulaire
+        // qui constitue le cas le plus courant d'utilisation du pipeline recuperer_fond
+        // (performance, cela evite de s'injecter dans recuperer_fond utilise pour *tous* les squelettes)
+        $valeurs['_pipelines']['formulaire_fond'] = ['form' => $form, 'args' => $args, 'je_suis_poste' => $poste];
+    }
+
+    return $valeurs;
 }
 
 /**
@@ -399,9 +399,9 @@ 
  * @return bool
  */
 function formulaire__identifier($form, $args, $p) {
-	if ($identifier_args = charger_fonction('identifier', "formulaires/$form", true)) {
-		return $identifier_args(...$args) === $identifier_args(...$p);
-	}
+    if ($identifier_args = charger_fonction('identifier', "formulaires/$form", true)) {
+        return $identifier_args(...$args) === $identifier_args(...$p);
+    }
 
-	return $args === $p;
+    return $args === $p;
 }