spip / SPIP

ecrire/inc/auth.php

Indentation +447 added lines, -447 removed lines

@@ -17,7 +17,7 @@ 
  **/
 
 if (!defined('_ECRIRE_INC_VERSION')) {
-	return;
+    return;
 }
 
 include_spip('base/abstract_sql');
@@ -35,33 +35,33 @@ 
  *  - une chaîne vide si autorisation à pénétrer dans l'espace privé.
  */
 function inc_auth_dist() {
-	$row = auth_mode();
+    $row = auth_mode();
 
-	if ($row) {
-		return auth_init_droits($row);
-	}
+    if ($row) {
+        return auth_init_droits($row);
+    }
 
-	if (!$GLOBALS['connect_login']) {
-		return auth_a_loger();
-	}
+    if (!$GLOBALS['connect_login']) {
+        return auth_a_loger();
+    }
 
-	// Cas ou l'auteur a ete identifie mais on n'a pas d'info sur lui
-	// C'est soit parce que la base est inutilisable,
-	// soit parce que la table des auteurs a changee (restauration etc)
-	// Pas la peine d'insister.
-	// Renvoyer le nom fautif et une URL de remise a zero
+    // Cas ou l'auteur a ete identifie mais on n'a pas d'info sur lui
+    // C'est soit parce que la base est inutilisable,
+    // soit parce que la table des auteurs a changee (restauration etc)
+    // Pas la peine d'insister.
+    // Renvoyer le nom fautif et une URL de remise a zero
 
-	if (spip_connect()) {
-		return [
-			'login' => $GLOBALS['connect_login'],
-			'site' => generer_url_public('', 'action=logout&logout=prive')
-		];
-	}
+    if (spip_connect()) {
+        return [
+            'login' => $GLOBALS['connect_login'],
+            'site' => generer_url_public('', 'action=logout&logout=prive')
+        ];
+    }
 
-	$n = intval(sql_errno());
-	spip_log("Erreur base de donnees $n " . sql_error());
+    $n = intval(sql_errno());
+    spip_log("Erreur base de donnees $n " . sql_error());
 
-	return $n ?: 1;
+    return $n ?: 1;
 }
 
 /**
@@ -73,39 +73,39 @@ 
  * @return array|string
  */
 function auth_echec($raison) {
-	include_spip('inc/minipres');
-	include_spip('inc/headers');
-	// pas authentifie. Pourquoi ?
-	if (is_string($raison)) {
-		// redirection vers une page d'authentification
-		// on ne revient pas de cette fonction
-		// sauf si pb de header
-		$raison = redirige_formulaire($raison);
-	} elseif (is_int($raison)) {
-		// erreur SQL a afficher
-		$raison = minipres(
-			_T('info_travaux_titre'),
-			_T('titre_probleme_technique') . '<p><tt>' . sql_errno() . ' ' . sql_error() . '</tt></p>'
-		);
-	} elseif (@$raison['statut']) {
-		// un simple visiteur n'a pas acces a l'espace prive
-		spip_log('connexion refusee a ' . @$raison['id_auteur']);
-		$raison = minipres(_T('avis_erreur_connexion'), _T('avis_erreur_visiteur'));
-	} else {
-		// auteur en fin de droits ...
-		$h = $raison['site'];
-		$raison = minipres(
-			_T('avis_erreur_connexion'),
-			'<br /><br /><p>'
-			. _T('texte_inc_auth_1', ['auth_login' => $raison['login']])
-			. " <a href='$h'>"
-			. _T('texte_inc_auth_2')
-			. '</a>'
-			. _T('texte_inc_auth_3')
-		);
-	}
-
-	return $raison;
+    include_spip('inc/minipres');
+    include_spip('inc/headers');
+    // pas authentifie. Pourquoi ?
+    if (is_string($raison)) {
+        // redirection vers une page d'authentification
+        // on ne revient pas de cette fonction
+        // sauf si pb de header
+        $raison = redirige_formulaire($raison);
+    } elseif (is_int($raison)) {
+        // erreur SQL a afficher
+        $raison = minipres(
+            _T('info_travaux_titre'),
+            _T('titre_probleme_technique') . '<p><tt>' . sql_errno() . ' ' . sql_error() . '</tt></p>'
+        );
+    } elseif (@$raison['statut']) {
+        // un simple visiteur n'a pas acces a l'espace prive
+        spip_log('connexion refusee a ' . @$raison['id_auteur']);
+        $raison = minipres(_T('avis_erreur_connexion'), _T('avis_erreur_visiteur'));
+    } else {
+        // auteur en fin de droits ...
+        $h = $raison['site'];
+        $raison = minipres(
+            _T('avis_erreur_connexion'),
+            '<br /><br /><p>'
+            . _T('texte_inc_auth_1', ['auth_login' => $raison['login']])
+            . " <a href='$h'>"
+            . _T('texte_inc_auth_2')
+            . '</a>'
+            . _T('texte_inc_auth_3')
+        );
+    }
+
+    return $raison;
 }
 
 /**
@@ -115,81 +115,81 @@ 
  * @return array|bool|string
  */
 function auth_mode() {
-	//
-	// Initialiser variables (eviter hacks par URL)
-	//
-	$GLOBALS['connect_login'] = '';
-	$id_auteur = null;
-	$GLOBALS['auth_can_disconnect'] = false;
-
-	//
-	// Recuperer les donnees d'identification
-	//
-	include_spip('inc/session');
-	// Session valide en cours ?
-	if (isset($_COOKIE['spip_session'])) {
-		$session = charger_fonction('session', 'inc');
-		if (
-			$id_auteur = $session()
-			or $id_auteur === 0 // reprise sur restauration
-		) {
-			$GLOBALS['auth_can_disconnect'] = true;
-			$GLOBALS['connect_login'] = session_get('login');
-		} else {
-			unset($_COOKIE['spip_session']);
-		}
-	}
-
-	// Essayer auth http si significatif
-	// (ignorer les login d'intranet independants de spip)
-	if (!$GLOBALS['ignore_auth_http']) {
-		if (
-			(isset($_SERVER['PHP_AUTH_USER']) and isset($_SERVER['PHP_AUTH_PW'])
-				and $r = lire_php_auth($_SERVER['PHP_AUTH_USER'], $_SERVER['PHP_AUTH_PW']))
-			or
-			// Si auth http differtente de basic, PHP_AUTH_PW
-			// est indisponible mais tentons quand meme pour
-			// autocreation via LDAP
-			(isset($_SERVER['REMOTE_USER'])
-				and $r = lire_php_auth($_SERVER['PHP_AUTH_USER'] = $_SERVER['REMOTE_USER'], ''))
-		) {
-			if (!$id_auteur) {
-				$_SERVER['PHP_AUTH_PW'] = '';
-				$GLOBALS['auth_can_disconnect'] = true;
-				$GLOBALS['visiteur_session'] = $r;
-				$GLOBALS['connect_login'] = session_get('login');
-				$id_auteur = $r['id_auteur'];
-			} else {
-				// cas de la session en plus de PHP_AUTH
-				/*				  if ($id_auteur != $r['id_auteur']){
+    //
+    // Initialiser variables (eviter hacks par URL)
+    //
+    $GLOBALS['connect_login'] = '';
+    $id_auteur = null;
+    $GLOBALS['auth_can_disconnect'] = false;
+
+    //
+    // Recuperer les donnees d'identification
+    //
+    include_spip('inc/session');
+    // Session valide en cours ?
+    if (isset($_COOKIE['spip_session'])) {
+        $session = charger_fonction('session', 'inc');
+        if (
+            $id_auteur = $session()
+            or $id_auteur === 0 // reprise sur restauration
+        ) {
+            $GLOBALS['auth_can_disconnect'] = true;
+            $GLOBALS['connect_login'] = session_get('login');
+        } else {
+            unset($_COOKIE['spip_session']);
+        }
+    }
+
+    // Essayer auth http si significatif
+    // (ignorer les login d'intranet independants de spip)
+    if (!$GLOBALS['ignore_auth_http']) {
+        if (
+            (isset($_SERVER['PHP_AUTH_USER']) and isset($_SERVER['PHP_AUTH_PW'])
+                and $r = lire_php_auth($_SERVER['PHP_AUTH_USER'], $_SERVER['PHP_AUTH_PW']))
+            or
+            // Si auth http differtente de basic, PHP_AUTH_PW
+            // est indisponible mais tentons quand meme pour
+            // autocreation via LDAP
+            (isset($_SERVER['REMOTE_USER'])
+                and $r = lire_php_auth($_SERVER['PHP_AUTH_USER'] = $_SERVER['REMOTE_USER'], ''))
+        ) {
+            if (!$id_auteur) {
+                $_SERVER['PHP_AUTH_PW'] = '';
+                $GLOBALS['auth_can_disconnect'] = true;
+                $GLOBALS['visiteur_session'] = $r;
+                $GLOBALS['connect_login'] = session_get('login');
+                $id_auteur = $r['id_auteur'];
+            } else {
+                // cas de la session en plus de PHP_AUTH
+                /*				  if ($id_auteur != $r['id_auteur']){
 					spip_log("vol de session $id_auteur" . join(', ', $r));
 				unset($_COOKIE['spip_session']);
 				$id_auteur = '';
 				} */
-			}
-		} else {
-			// Authentification .htaccess old style, car .htaccess semble
-			// souvent definir *aussi* PHP_AUTH_USER et PHP_AUTH_PW
-			if (isset($_SERVER['REMOTE_USER'])) {
-				$GLOBALS['connect_login'] = $_SERVER['REMOTE_USER'];
-			}
-		}
-	}
-
-	$where = (is_numeric($id_auteur)
-		/*AND $id_auteur>0*/ // reprise lors des restaurations
-	) ?
-		"id_auteur=$id_auteur" :
-		(!strlen($GLOBALS['connect_login']) ? '' : 'login=' . sql_quote($GLOBALS['connect_login'], '', 'text'));
-
-	if (!$where) {
-		return '';
-	}
-
-	// Trouver les autres infos dans la table auteurs.
-	// le champ 'quand' est utilise par l'agenda
-
-	return sql_fetsel('*, en_ligne AS quand', 'spip_auteurs', "$where AND statut!='5poubelle'");
+            }
+        } else {
+            // Authentification .htaccess old style, car .htaccess semble
+            // souvent definir *aussi* PHP_AUTH_USER et PHP_AUTH_PW
+            if (isset($_SERVER['REMOTE_USER'])) {
+                $GLOBALS['connect_login'] = $_SERVER['REMOTE_USER'];
+            }
+        }
+    }
+
+    $where = (is_numeric($id_auteur)
+        /*AND $id_auteur>0*/ // reprise lors des restaurations
+    ) ?
+        "id_auteur=$id_auteur" :
+        (!strlen($GLOBALS['connect_login']) ? '' : 'login=' . sql_quote($GLOBALS['connect_login'], '', 'text'));
+
+    if (!$where) {
+        return '';
+    }
+
+    // Trouver les autres infos dans la table auteurs.
+    // le champ 'quand' est utilise par l'agenda
+
+    return sql_fetsel('*, en_ligne AS quand', 'spip_auteurs', "$where AND statut!='5poubelle'");
 }
 
 /**
@@ -207,86 +207,86 @@ 
  */
 function auth_init_droits($row) {
 
-	include_spip('inc/autoriser');
-	if (!autoriser('loger', '', 0, $row)) {
-		return false;
-	}
-
-
-	if ($row['statut'] == 'nouveau') {
-		include_spip('action/inscrire_auteur');
-		$row = confirmer_statut_inscription($row);
-	}
-
-	$GLOBALS['connect_id_auteur'] = $row['id_auteur'];
-	$GLOBALS['connect_login'] = $row['login'];
-	$GLOBALS['connect_statut'] = $row['statut'];
-
-	$GLOBALS['visiteur_session'] = array_merge((array)$GLOBALS['visiteur_session'], $row);
-
-	// au cas ou : ne pas memoriser les champs sensibles
-	unset($GLOBALS['visiteur_session']['pass']);
-	unset($GLOBALS['visiteur_session']['htpass']);
-	unset($GLOBALS['visiteur_session']['alea_actuel']);
-	unset($GLOBALS['visiteur_session']['alea_futur']);
-	unset($GLOBALS['visiteur_session']['ldap_password']);
-
-	// creer la session au besoin
-	if (!isset($_COOKIE['spip_session'])) {
-		$session = charger_fonction('session', 'inc');
-		$spip_session = $session($row);
-	}
-
-	// reinjecter les preferences_auteur apres le reset de spip_session
-	// car utilisees au retour par auth_loger()
-	$r = @unserialize($row['prefs']);
-	$GLOBALS['visiteur_session']['prefs'] = ($r ?: []);
-	// si prefs pas definies, les definir par defaut
-	if (!isset($GLOBALS['visiteur_session']['prefs']['couleur'])) {
-		$GLOBALS['visiteur_session']['prefs']['couleur'] = 2;
-		$GLOBALS['visiteur_session']['prefs']['display'] = 2;
-		$GLOBALS['visiteur_session']['prefs']['display_navigation'] = 'navigation_avec_icones';
-		$GLOBALS['visiteur_session']['prefs']['display_outils'] = 'oui';
-	}
-
-	$GLOBALS['visiteur_session'] = pipeline(
-		'preparer_visiteur_session',
-		['args' => ['row' => $row],
-		'data' => $GLOBALS['visiteur_session']]
-	);
-
-	// Etablir les droits selon le codage attendu
-	// dans ecrire/index.php ecrire/prive.php
-
-	// Pas autorise a acceder a ecrire ? renvoyer le tableau
-	// A noter : le premier appel a autoriser() a le bon gout
-	// d'initialiser $GLOBALS['visiteur_session']['restreint'],
-	// qui ne figure pas dans le fichier de session
-
-	if (!autoriser('ecrire')) {
-		return $row;
-	}
-
-	// autoriser('ecrire') ne laisse passer que les Admin et les Redac
-
-	auth_trace($row);
-
-	// Administrateurs
-	if (in_array($GLOBALS['connect_statut'], explode(',', _STATUT_AUTEUR_RUBRIQUE))) {
-		if (
-			isset($GLOBALS['visiteur_session']['restreint'])
-			and is_array($GLOBALS['visiteur_session']['restreint'])
-		) {
-			$GLOBALS['connect_id_rubrique'] = $GLOBALS['visiteur_session']['restreint'];
-		}
-		if ($GLOBALS['connect_statut'] == '0minirezo') {
-			$GLOBALS['connect_toutes_rubriques'] = !$GLOBALS['connect_id_rubrique'];
-		}
-	}
-
-	// Pour les redacteurs, inc_version a fait l'initialisation minimale
-
-	return ''; // i.e. pas de pb.
+    include_spip('inc/autoriser');
+    if (!autoriser('loger', '', 0, $row)) {
+        return false;
+    }
+
+
+    if ($row['statut'] == 'nouveau') {
+        include_spip('action/inscrire_auteur');
+        $row = confirmer_statut_inscription($row);
+    }
+
+    $GLOBALS['connect_id_auteur'] = $row['id_auteur'];
+    $GLOBALS['connect_login'] = $row['login'];
+    $GLOBALS['connect_statut'] = $row['statut'];
+
+    $GLOBALS['visiteur_session'] = array_merge((array)$GLOBALS['visiteur_session'], $row);
+
+    // au cas ou : ne pas memoriser les champs sensibles
+    unset($GLOBALS['visiteur_session']['pass']);
+    unset($GLOBALS['visiteur_session']['htpass']);
+    unset($GLOBALS['visiteur_session']['alea_actuel']);
+    unset($GLOBALS['visiteur_session']['alea_futur']);
+    unset($GLOBALS['visiteur_session']['ldap_password']);
+
+    // creer la session au besoin
+    if (!isset($_COOKIE['spip_session'])) {
+        $session = charger_fonction('session', 'inc');
+        $spip_session = $session($row);
+    }
+
+    // reinjecter les preferences_auteur apres le reset de spip_session
+    // car utilisees au retour par auth_loger()
+    $r = @unserialize($row['prefs']);
+    $GLOBALS['visiteur_session']['prefs'] = ($r ?: []);
+    // si prefs pas definies, les definir par defaut
+    if (!isset($GLOBALS['visiteur_session']['prefs']['couleur'])) {
+        $GLOBALS['visiteur_session']['prefs']['couleur'] = 2;
+        $GLOBALS['visiteur_session']['prefs']['display'] = 2;
+        $GLOBALS['visiteur_session']['prefs']['display_navigation'] = 'navigation_avec_icones';
+        $GLOBALS['visiteur_session']['prefs']['display_outils'] = 'oui';
+    }
+
+    $GLOBALS['visiteur_session'] = pipeline(
+        'preparer_visiteur_session',
+        ['args' => ['row' => $row],
+        'data' => $GLOBALS['visiteur_session']]
+    );
+
+    // Etablir les droits selon le codage attendu
+    // dans ecrire/index.php ecrire/prive.php
+
+    // Pas autorise a acceder a ecrire ? renvoyer le tableau
+    // A noter : le premier appel a autoriser() a le bon gout
+    // d'initialiser $GLOBALS['visiteur_session']['restreint'],
+    // qui ne figure pas dans le fichier de session
+
+    if (!autoriser('ecrire')) {
+        return $row;
+    }
+
+    // autoriser('ecrire') ne laisse passer que les Admin et les Redac
+
+    auth_trace($row);
+
+    // Administrateurs
+    if (in_array($GLOBALS['connect_statut'], explode(',', _STATUT_AUTEUR_RUBRIQUE))) {
+        if (
+            isset($GLOBALS['visiteur_session']['restreint'])
+            and is_array($GLOBALS['visiteur_session']['restreint'])
+        ) {
+            $GLOBALS['connect_id_rubrique'] = $GLOBALS['visiteur_session']['restreint'];
+        }
+        if ($GLOBALS['connect_statut'] == '0minirezo') {
+            $GLOBALS['connect_toutes_rubriques'] = !$GLOBALS['connect_id_rubrique'];
+        }
+    }
+
+    // Pour les redacteurs, inc_version a fait l'initialisation minimale
+
+    return ''; // i.e. pas de pb.
 }
 
 /**
@@ -295,23 +295,23 @@ 
  * @return string
  */
 function auth_a_loger() {
-	$redirect = generer_url_public('login', 'url=' . rawurlencode(self('&', true)), true);
-
-	// un echec au "bonjour" (login initial) quand le statut est
-	// inconnu signale sans doute un probleme de cookies
-	if (isset($_GET['bonjour'])) {
-		$redirect = parametre_url(
-			$redirect,
-			'var_erreur',
-			(!isset($GLOBALS['visiteur_session']['statut'])
-				? 'cookie'
-				: 'statut'
-			),
-			'&'
-		);
-	}
-
-	return $redirect;
+    $redirect = generer_url_public('login', 'url=' . rawurlencode(self('&', true)), true);
+
+    // un echec au "bonjour" (login initial) quand le statut est
+    // inconnu signale sans doute un probleme de cookies
+    if (isset($_GET['bonjour'])) {
+        $redirect = parametre_url(
+            $redirect,
+            'var_erreur',
+            (!isset($GLOBALS['visiteur_session']['statut'])
+                ? 'cookie'
+                : 'statut'
+            ),
+            '&'
+        );
+    }
+
+    return $redirect;
 }
 
 /**
@@ -323,19 +323,19 @@ 
  * @param null|string $date
  */
 function auth_trace($row, $date = null) {
-	// Indiquer la connexion. A la minute pres ca suffit.
-	if (!is_numeric($connect_quand = $row['quand'] ?? '')) {
-		$connect_quand = strtotime($connect_quand);
-	}
+    // Indiquer la connexion. A la minute pres ca suffit.
+    if (!is_numeric($connect_quand = $row['quand'] ?? '')) {
+        $connect_quand = strtotime($connect_quand);
+    }
 
-	$date ??= date('Y-m-d H:i:s');
+    $date ??= date('Y-m-d H:i:s');
 
-	if (abs(strtotime($date) - $connect_quand) >= 60) {
-		sql_updateq('spip_auteurs', ['en_ligne' => $date], 'id_auteur=' . intval($row['id_auteur']));
-		$row['en_ligne'] = $date;
-	}
+    if (abs(strtotime($date) - $connect_quand) >= 60) {
+        sql_updateq('spip_auteurs', ['en_ligne' => $date], 'id_auteur=' . intval($row['id_auteur']));
+        $row['en_ligne'] = $date;
+    }
 
-	pipeline('trig_auth_trace', ['args' => ['row' => $row, 'date' => $date]]);
+    pipeline('trig_auth_trace', ['args' => ['row' => $row, 'date' => $date]]);
 }
 
 
@@ -361,28 +361,28 @@ 
  * @return mixed
  */
 function auth_administrer($fonction, $args, $defaut = false) {
-	$auth_methode = array_shift($args);
-	$auth_methode = $auth_methode ?: 'spip'; // valeur par defaut au cas ou
-	if (
-		$auth = charger_fonction($auth_methode, 'auth', true)
-		and function_exists($f = "auth_{$auth_methode}_$fonction")
-	) {
-		$res = $f(...$args);
-	} else {
-		$res = $defaut;
-	}
-	$res = pipeline(
-		'auth_administrer',
-		[
-			'args' => [
-				'fonction' => $fonction,
-				'methode' => $auth_methode,
-				'args' => $args
-			],
-			'data' => $res
-		]
-	);
-	return $res;
+    $auth_methode = array_shift($args);
+    $auth_methode = $auth_methode ?: 'spip'; // valeur par defaut au cas ou
+    if (
+        $auth = charger_fonction($auth_methode, 'auth', true)
+        and function_exists($f = "auth_{$auth_methode}_$fonction")
+    ) {
+        $res = $f(...$args);
+    } else {
+        $res = $defaut;
+    }
+    $res = pipeline(
+        'auth_administrer',
+        [
+            'args' => [
+                'fonction' => $fonction,
+                'methode' => $auth_methode,
+                'args' => $args
+            ],
+            'data' => $res
+        ]
+    );
+    return $res;
 }
 
 /**
@@ -392,11 +392,11 @@ 
  * @return array
  */
 function auth_formulaire_login($flux) {
-	foreach ($GLOBALS['liste_des_authentifications'] as $methode) {
-		$flux = auth_administrer('formulaire_login', [$methode, $flux], $flux);
-	}
+    foreach ($GLOBALS['liste_des_authentifications'] as $methode) {
+        $flux = auth_administrer('formulaire_login', [$methode, $flux], $flux);
+    }
 
-	return $flux;
+    return $flux;
 }
 
 
@@ -410,19 +410,19 @@ 
  * @return string/bool
  */
 function auth_retrouver_login($login, $serveur = '') {
-	if (!spip_connect($serveur)) {
-		include_spip('inc/minipres');
-		echo minipres(_T('info_travaux_titre'), _T('titre_probleme_technique'));
-		exit;
-	}
-
-	foreach ($GLOBALS['liste_des_authentifications'] as $methode) {
-		if ($auteur = auth_administrer('retrouver_login', [$methode, $login, $serveur])) {
-			return $auteur;
-		}
-	}
-
-	return false;
+    if (!spip_connect($serveur)) {
+        include_spip('inc/minipres');
+        echo minipres(_T('info_travaux_titre'), _T('titre_probleme_technique'));
+        exit;
+    }
+
+    foreach ($GLOBALS['liste_des_authentifications'] as $methode) {
+        if ($auteur = auth_administrer('retrouver_login', [$methode, $login, $serveur])) {
+            return $auteur;
+        }
+    }
+
+    return false;
 }
 
 /**
@@ -437,52 +437,52 @@ 
  * @return array
  */
 function auth_informer_login($login, $serveur = '') {
-	if (
-		!$login
-		or !$login_base = auth_retrouver_login($login, $serveur)
-		or !$row = sql_fetsel('*', 'spip_auteurs', 'login=' . sql_quote($login_base, $serveur, 'text'), '', '', '', '', $serveur)
-	) {
-		// generer de fausses infos, mais credibles, pour eviter une attaque
-		// https://core.spip.net/issues/1758 + https://core.spip.net/issues/3691
-		include_spip('inc/securiser_action');
-		$fauxalea1 = md5('fauxalea' . secret_du_site() . $login . floor(date('U') / 86400));
-		$fauxalea2 = md5('fauxalea' . secret_du_site() . $login . ceil(date('U') / 86400));
-
-		$row = [
-			'login' => $login,
-			'cnx' => '0',
-			'logo' => '',
-			'alea_actuel' => substr_replace($fauxalea1, '.', 24, 0),
-			'alea_futur' => substr_replace($fauxalea2, '.', 24, 0)
-		];
-
-		// permettre d'autoriser l'envoi de password non crypte lorsque
-		// l'auteur n'est pas (encore) declare dans SPIP, par exemple pour les cas
-		// de premiere authentification via SPIP a une autre application.
-		if (defined('_AUTORISER_AUTH_FAIBLE') and _AUTORISER_AUTH_FAIBLE) {
-			$row['alea_actuel'] = '';
-			$row['alea_futur'] = '';
-		}
-
-		return $row;
-	}
-
-	$prefs = @unserialize($row['prefs']);
-	$infos = [
-		'id_auteur' => $row['id_auteur'],
-		'login' => $row['login'],
-		'cnx' => (isset($prefs['cnx']) and $prefs['cnx'] === 'perma') ? '1' : '0',
-		'logo' => recuperer_fond('formulaires/inc-logo_auteur', $row),
-	];
-
-	// desactiver le hash md5 si pas auteur spip ?
-	if ($row['source'] !== 'spip') {
-		$row['alea_actuel'] = '';
-		$row['alea_futur'] = '';
-	}
-	verifier_visiteur();
-
-	return auth_administrer('informer_login', [$row['source'], $infos, $row, $serveur], $infos);
+    if (
+        !$login
+        or !$login_base = auth_retrouver_login($login, $serveur)
+        or !$row = sql_fetsel('*', 'spip_auteurs', 'login=' . sql_quote($login_base, $serveur, 'text'), '', '', '', '', $serveur)
+    ) {
+        // generer de fausses infos, mais credibles, pour eviter une attaque
+        // https://core.spip.net/issues/1758 + https://core.spip.net/issues/3691
+        include_spip('inc/securiser_action');
+        $fauxalea1 = md5('fauxalea' . secret_du_site() . $login . floor(date('U') / 86400));
+        $fauxalea2 = md5('fauxalea' . secret_du_site() . $login . ceil(date('U') / 86400));
+
+        $row = [
+            'login' => $login,
+            'cnx' => '0',
+            'logo' => '',
+            'alea_actuel' => substr_replace($fauxalea1, '.', 24, 0),
+            'alea_futur' => substr_replace($fauxalea2, '.', 24, 0)
+        ];
+
+        // permettre d'autoriser l'envoi de password non crypte lorsque
+        // l'auteur n'est pas (encore) declare dans SPIP, par exemple pour les cas
+        // de premiere authentification via SPIP a une autre application.
+        if (defined('_AUTORISER_AUTH_FAIBLE') and _AUTORISER_AUTH_FAIBLE) {
+            $row['alea_actuel'] = '';
+            $row['alea_futur'] = '';
+        }
+
+        return $row;
+    }
+
+    $prefs = @unserialize($row['prefs']);
+    $infos = [
+        'id_auteur' => $row['id_auteur'],
+        'login' => $row['login'],
+        'cnx' => (isset($prefs['cnx']) and $prefs['cnx'] === 'perma') ? '1' : '0',
+        'logo' => recuperer_fond('formulaires/inc-logo_auteur', $row),
+    ];
+
+    // desactiver le hash md5 si pas auteur spip ?
+    if ($row['source'] !== 'spip') {
+        $row['alea_actuel'] = '';
+        $row['alea_futur'] = '';
+    }
+    verifier_visiteur();
+
+    return auth_administrer('informer_login', [$row['source'], $infos, $row, $serveur], $infos);
 }
 
 
@@ -496,21 +496,21 @@ 
  * @return mixed
  */
 function auth_identifier_login($login, $password, $serveur = '') {
-	$erreur = '';
-	foreach ($GLOBALS['liste_des_authentifications'] as $methode) {
-		if ($auth = charger_fonction($methode, 'auth', true)) {
-			$auteur = $auth($login, $password, $serveur);
-			if (is_array($auteur) and count($auteur)) {
-				spip_log("connexion de $login par methode $methode");
-				$auteur['auth'] = $methode;
-				return $auteur;
-			} elseif (is_string($auteur)) {
-				$erreur .= "$auteur ";
-			}
-		}
-	}
-
-	return $erreur;
+    $erreur = '';
+    foreach ($GLOBALS['liste_des_authentifications'] as $methode) {
+        if ($auth = charger_fonction($methode, 'auth', true)) {
+            $auteur = $auth($login, $password, $serveur);
+            if (is_array($auteur) and count($auteur)) {
+                spip_log("connexion de $login par methode $methode");
+                $auteur['auth'] = $methode;
+                return $auteur;
+            } elseif (is_string($auteur)) {
+                $erreur .= "$auteur ";
+            }
+        }
+    }
+
+    return $erreur;
 }
 
 /**
@@ -524,8 +524,8 @@ 
  * @return string
  */
 function auth_url_retour_login($auth_methode, $login, $redirect = '', $serveur = '') {
-	$securiser_action = charger_fonction('securiser_action', 'inc');
-	return $securiser_action('auth', "$auth_methode/$login", $redirect, true);
+    $securiser_action = charger_fonction('securiser_action', 'inc');
+    return $securiser_action('auth', "$auth_methode/$login", $redirect, true);
 }
 
 /**
@@ -539,9 +539,9 @@ 
  * @return mixed
  */
 function auth_terminer_identifier_login($auth_methode, $login, $serveur = '') {
-	$args = func_get_args();
-	$auteur = auth_administrer('terminer_identifier_login', $args);
-	return $auteur;
+    $args = func_get_args();
+    $auteur = auth_administrer('terminer_identifier_login', $args);
+    return $auteur;
 }
 
 /**
@@ -551,29 +551,29 @@ 
  * @return bool
  */
 function auth_loger($auteur) {
-	if (!is_array($auteur) or !count($auteur)) {
-		return false;
-	}
-
-	// initialiser et poser le cookie de session
-	unset($_COOKIE['spip_session']);
-	if (auth_init_droits($auteur) === false) {
-		return false;
-	}
-
-	// initialiser les prefs
-	$p = $GLOBALS['visiteur_session']['prefs'];
-	$p['cnx'] = (isset($auteur['cookie']) and $auteur['cookie'] == 'oui') ? 'perma' : '';
-
-	sql_updateq(
-		'spip_auteurs',
-		['prefs' => serialize($p)],
-		'id_auteur=' . intval($auteur['id_auteur'])
-	);
-
-	//  bloquer ici le visiteur qui tente d'abuser de ses droits
-	verifier_visiteur();
-	return true;
+    if (!is_array($auteur) or !count($auteur)) {
+        return false;
+    }
+
+    // initialiser et poser le cookie de session
+    unset($_COOKIE['spip_session']);
+    if (auth_init_droits($auteur) === false) {
+        return false;
+    }
+
+    // initialiser les prefs
+    $p = $GLOBALS['visiteur_session']['prefs'];
+    $p['cnx'] = (isset($auteur['cookie']) and $auteur['cookie'] == 'oui') ? 'perma' : '';
+
+    sql_updateq(
+        'spip_auteurs',
+        ['prefs' => serialize($p)],
+        'id_auteur=' . intval($auteur['id_auteur'])
+    );
+
+    //  bloquer ici le visiteur qui tente d'abuser de ses droits
+    verifier_visiteur();
+    return true;
 }
 
 /**
@@ -583,8 +583,8 @@ 
  * return void
  **/
 function auth_deloger() {
-	$logout = charger_fonction('logout', 'action');
-	$logout();
+    $logout = charger_fonction('logout', 'action');
+    $logout();
 }
 
 /**
@@ -598,8 +598,8 @@ 
  * @return bool
  */
 function auth_autoriser_modifier_login($auth_methode, $serveur = '') {
-	$args = func_get_args();
-	return auth_administrer('autoriser_modifier_login', $args);
+    $args = func_get_args();
+    return auth_administrer('autoriser_modifier_login', $args);
 }
 
 /**
@@ -614,8 +614,8 @@ 
  *  message d'erreur ou chaine vide si pas d'erreur
  */
 function auth_verifier_login($auth_methode, $new_login, $id_auteur = 0, $serveur = '') {
-	$args = func_get_args();
-	return auth_administrer('verifier_login', $args, '');
+    $args = func_get_args();
+    return auth_administrer('verifier_login', $args, '');
 }
 
 /**
@@ -628,8 +628,8 @@ 
  * @return bool
  */
 function auth_modifier_login($auth_methode, $new_login, $id_auteur, $serveur = '') {
-	$args = func_get_args();
-	return auth_administrer('modifier_login', $args);
+    $args = func_get_args();
+    return auth_administrer('modifier_login', $args);
 }
 
 /**
@@ -644,8 +644,8 @@ 
  *  succès ou échec
  */
 function auth_autoriser_modifier_pass($auth_methode, $serveur = '') {
-	$args = func_get_args();
-	return auth_administrer('autoriser_modifier_pass', $args);
+    $args = func_get_args();
+    return auth_administrer('autoriser_modifier_pass', $args);
 }
 
 /**
@@ -661,8 +661,8 @@ 
  *  message d'erreur ou chaine vide si pas d'erreur
  */
 function auth_verifier_pass($auth_methode, $login, $new_pass, $id_auteur = 0, $serveur = '') {
-	$args = func_get_args();
-	return auth_administrer('verifier_pass', $args, '');
+    $args = func_get_args();
+    return auth_administrer('verifier_pass', $args, '');
 }
 
 /**
@@ -678,8 +678,8 @@ 
  *  succes ou echec
  */
 function auth_modifier_pass($auth_methode, $login, $new_pass, $id_auteur, $serveur = '') {
-	$args = func_get_args();
-	return auth_administrer('modifier_pass', $args);
+    $args = func_get_args();
+    return auth_administrer('modifier_pass', $args);
 }
 
 /**
@@ -695,24 +695,24 @@ 
  * @return void
  */
 function auth_synchroniser_distant(
-	$auth_methode = true,
-	$id_auteur = 0,
-	$champs = [],
-	$options = [],
-	$serveur = ''
+    $auth_methode = true,
+    $id_auteur = 0,
+    $champs = [],
+    $options = [],
+    $serveur = ''
 ) {
-	$args = func_get_args();
-	if ($auth_methode === true or (isset($options['all']) and $options['all'] == true)) {
-		$options['all'] = true; // ajouter une option all=>true pour chaque auth
-		$args = [true, $id_auteur, $champs, $options, $serveur];
-		foreach ($GLOBALS['liste_des_authentifications'] as $methode) {
-			array_shift($args);
-			array_unshift($args, $methode);
-			auth_administrer('synchroniser_distant', $args);
-		}
-	} else {
-		auth_administrer('synchroniser_distant', $args);
-	}
+    $args = func_get_args();
+    if ($auth_methode === true or (isset($options['all']) and $options['all'] == true)) {
+        $options['all'] = true; // ajouter une option all=>true pour chaque auth
+        $args = [true, $id_auteur, $champs, $options, $serveur];
+        foreach ($GLOBALS['liste_des_authentifications'] as $methode) {
+            array_shift($args);
+            array_unshift($args, $methode);
+            auth_administrer('synchroniser_distant', $args);
+        }
+    } else {
+        auth_administrer('synchroniser_distant', $args);
+    }
 }
 
 
@@ -725,44 +725,44 @@ 
  * @return array|bool
  */
 function lire_php_auth($login, $pw, $serveur = '') {
-	if (
-		!$login
-		or !$login = auth_retrouver_login($login, $serveur)
-	) {
-		return false;
-	}
-
-	$row = sql_fetsel('*', 'spip_auteurs', 'login=' . sql_quote($login, $serveur, 'text'), '', '', '', '', $serveur);
-
-	if (!$row) {
-		if (
-			spip_connect_ldap($serveur)
-			and $auth_ldap = charger_fonction('ldap', 'auth', true)
-		) {
-			return $auth_ldap($login, $pw, $serveur, true);
-		}
-
-		return false;
-	}
-	// su pas de source definie
-	// ou auth/xxx introuvable, utiliser 'spip'
-	if (
-		!$auth_methode = $row['source']
-		or !$auth = charger_fonction($auth_methode, 'auth', true)
-	) {
-		$auth = charger_fonction('spip', 'auth', true);
-	}
-
-	$auteur = '';
-	if ($auth) {
-		$auteur = $auth($login, $pw, $serveur, true);
-	}
-	// verifier que ce n'est pas un message d'erreur
-	if (is_array($auteur) and count($auteur)) {
-		return $auteur;
-	}
-
-	return false;
+    if (
+        !$login
+        or !$login = auth_retrouver_login($login, $serveur)
+    ) {
+        return false;
+    }
+
+    $row = sql_fetsel('*', 'spip_auteurs', 'login=' . sql_quote($login, $serveur, 'text'), '', '', '', '', $serveur);
+
+    if (!$row) {
+        if (
+            spip_connect_ldap($serveur)
+            and $auth_ldap = charger_fonction('ldap', 'auth', true)
+        ) {
+            return $auth_ldap($login, $pw, $serveur, true);
+        }
+
+        return false;
+    }
+    // su pas de source definie
+    // ou auth/xxx introuvable, utiliser 'spip'
+    if (
+        !$auth_methode = $row['source']
+        or !$auth = charger_fonction($auth_methode, 'auth', true)
+    ) {
+        $auth = charger_fonction('spip', 'auth', true);
+    }
+
+    $auteur = '';
+    if ($auth) {
+        $auteur = $auth($login, $pw, $serveur, true);
+    }
+    // verifier que ce n'est pas un message d'erreur
+    if (is_array($auteur) and count($auteur)) {
+        return $auteur;
+    }
+
+    return false;
 }
 
 /**
@@ -778,21 +778,21 @@ 
  * @param string $lien
  */
 function ask_php_auth($pb, $raison, $retour = '', $url = '', $re = '', $lien = '') {
-	@Header('WWW-Authenticate: Basic realm="espace prive"');
-	@Header('HTTP/1.0 401 Unauthorized');
-	$corps = '';
-	$public = generer_url_public();
-	$ecrire = generer_url_ecrire();
-	$retour = $retour ?: _T('icone_retour');
-	$corps .= "<p>$raison</p>[<a href='$public'>$retour</a>] ";
-	if ($url) {
-		$corps .= "[<a href='" . generer_url_action('cookie', "essai_auth_http=oui&$url") . "'>$re</a>]";
-	}
-
-	if ($lien) {
-		$corps .= " [<a href='$ecrire'>" . _T('login_espace_prive') . '</a>]';
-	}
-	include_spip('inc/minipres');
-	echo minipres($pb, $corps);
-	exit;
+    @Header('WWW-Authenticate: Basic realm="espace prive"');
+    @Header('HTTP/1.0 401 Unauthorized');
+    $corps = '';
+    $public = generer_url_public();
+    $ecrire = generer_url_ecrire();
+    $retour = $retour ?: _T('icone_retour');
+    $corps .= "<p>$raison</p>[<a href='$public'>$retour</a>] ";
+    if ($url) {
+        $corps .= "[<a href='" . generer_url_action('cookie', "essai_auth_http=oui&$url") . "'>$re</a>]";
+    }
+
+    if ($lien) {
+        $corps .= " [<a href='$ecrire'>" . _T('login_espace_prive') . '</a>]';
+    }
+    include_spip('inc/minipres');
+    echo minipres($pb, $corps);
+    exit;
 }

ecrire/base/upgrade.php

Indentation +284 added lines, -284 removed lines

@@ -17,17 +17,17 @@ 
  */
 
 if (!defined('_ECRIRE_INC_VERSION')) {
-	return;
+    return;
 }
 
 if (!defined('_UPGRADE_TIME_OUT')) {
-	/**
-	 * Durée en secondes pour relancer les scripts de mises à jour, x secondes
-	 * avant que la durée d'exécution du script provoque un timeout
-	 *
-	 * @var int
-	 **/
-	define('_UPGRADE_TIME_OUT', 20);
+    /**
+     * Durée en secondes pour relancer les scripts de mises à jour, x secondes
+     * avant que la durée d'exécution du script provoque un timeout
+     *
+     * @var int
+     **/
+    define('_UPGRADE_TIME_OUT', 20);
 }
 
 /**
@@ -50,40 +50,40 @@ 
  * @return void
  */
 function base_upgrade_dist($titre = '', $reprise = '') {
-	if (!$titre) {
-		return;
-	} // anti-testeur automatique
-	if ($GLOBALS['spip_version_base'] != $GLOBALS['meta']['version_installee']) {
-		if (!is_numeric(_request('reinstall'))) {
-			include_spip('base/create');
-			spip_log('recree les tables eventuellement disparues', 'maj.' . _LOG_INFO_IMPORTANTE);
-			creer_base();
-		}
-
-		// quand on rentre par ici, c'est toujours une mise a jour de SPIP
-		// lancement de l'upgrade SPIP
-		$res = maj_base();
-
-		if ($res) {
-			// on arrete tout ici !
-			exit;
-		}
-	}
-	spip_log('Fin de mise a jour SQL. Debut m-a-j acces et config', 'maj.' . _LOG_INFO_IMPORTANTE);
-
-	// supprimer quelques fichiers temporaires qui peuvent se retrouver invalides
-	@spip_unlink(_CACHE_RUBRIQUES);
-	@spip_unlink(_CACHE_PIPELINES);
-	@spip_unlink(_CACHE_PLUGINS_PATH);
-	@spip_unlink(_CACHE_PLUGINS_OPT);
-	@spip_unlink(_CACHE_PLUGINS_FCT);
-	@spip_unlink(_CACHE_CHEMIN);
-	@spip_unlink(_DIR_TMP . 'plugin_xml_cache.gz');
-
-	include_spip('inc/auth');
-	auth_synchroniser_distant();
-	$config = charger_fonction('config', 'inc');
-	$config();
+    if (!$titre) {
+        return;
+    } // anti-testeur automatique
+    if ($GLOBALS['spip_version_base'] != $GLOBALS['meta']['version_installee']) {
+        if (!is_numeric(_request('reinstall'))) {
+            include_spip('base/create');
+            spip_log('recree les tables eventuellement disparues', 'maj.' . _LOG_INFO_IMPORTANTE);
+            creer_base();
+        }
+
+        // quand on rentre par ici, c'est toujours une mise a jour de SPIP
+        // lancement de l'upgrade SPIP
+        $res = maj_base();
+
+        if ($res) {
+            // on arrete tout ici !
+            exit;
+        }
+    }
+    spip_log('Fin de mise a jour SQL. Debut m-a-j acces et config', 'maj.' . _LOG_INFO_IMPORTANTE);
+
+    // supprimer quelques fichiers temporaires qui peuvent se retrouver invalides
+    @spip_unlink(_CACHE_RUBRIQUES);
+    @spip_unlink(_CACHE_PIPELINES);
+    @spip_unlink(_CACHE_PLUGINS_PATH);
+    @spip_unlink(_CACHE_PLUGINS_OPT);
+    @spip_unlink(_CACHE_PLUGINS_FCT);
+    @spip_unlink(_CACHE_CHEMIN);
+    @spip_unlink(_DIR_TMP . 'plugin_xml_cache.gz');
+
+    include_spip('inc/auth');
+    auth_synchroniser_distant();
+    $config = charger_fonction('config', 'inc');
+    $config();
 }
 
 /**
@@ -114,51 +114,51 @@ 
  */
 function maj_base($version_cible = 0, $redirect = '', $debut_page = true) {
 
-	$version_installee = $GLOBALS['meta']['version_installee'] ?? null;
-
-	spip_log(
-		"Version anterieure: $version_installee. Courante: " . $GLOBALS['spip_version_base'],
-		'maj.' . _LOG_INFO_IMPORTANTE
-	);
-	if (!$version_installee or ($GLOBALS['spip_version_base'] < $version_installee)) {
-		sql_replace(
-			'spip_meta',
-			[
-				'nom' => 'version_installee',
-				'valeur' => $GLOBALS['spip_version_base'],
-				'impt' => 'non'
-			]
-		);
-		return false;
-	}
-	if (!upgrade_test()) {
-		return true;
-	}
-
-	$cible = ($version_cible ?: $GLOBALS['spip_version_base']);
-
-	if ($version_installee < 2021_01_01_00) {
-		include_spip('maj/legacy/v21');
-		include_spip('maj/legacy/v30');
-		include_spip('maj/legacy/v31');
-		include_spip('maj/legacy/v32');
-		include_spip('maj/legacy/v40');
-	}
-
-	include_spip('maj/2021');
-
-	ksort($GLOBALS['maj']);
-	$res = maj_while($version_installee, $cible, $GLOBALS['maj'], 'version_installee', 'meta', $redirect, $debut_page);
-	if ($res) {
-		if (!is_array($res)) {
-			spip_log("Pb d'acces SQL a la mise a jour", 'maj.' . _LOG_ERREUR);
-		} else {
-			echo _T('avis_operation_echec') . ' ' . join(' ', $res);
-			echo install_fin_html();
-		}
-	}
-
-	return $res;
+    $version_installee = $GLOBALS['meta']['version_installee'] ?? null;
+
+    spip_log(
+        "Version anterieure: $version_installee. Courante: " . $GLOBALS['spip_version_base'],
+        'maj.' . _LOG_INFO_IMPORTANTE
+    );
+    if (!$version_installee or ($GLOBALS['spip_version_base'] < $version_installee)) {
+        sql_replace(
+            'spip_meta',
+            [
+                'nom' => 'version_installee',
+                'valeur' => $GLOBALS['spip_version_base'],
+                'impt' => 'non'
+            ]
+        );
+        return false;
+    }
+    if (!upgrade_test()) {
+        return true;
+    }
+
+    $cible = ($version_cible ?: $GLOBALS['spip_version_base']);
+
+    if ($version_installee < 2021_01_01_00) {
+        include_spip('maj/legacy/v21');
+        include_spip('maj/legacy/v30');
+        include_spip('maj/legacy/v31');
+        include_spip('maj/legacy/v32');
+        include_spip('maj/legacy/v40');
+    }
+
+    include_spip('maj/2021');
+
+    ksort($GLOBALS['maj']);
+    $res = maj_while($version_installee, $cible, $GLOBALS['maj'], 'version_installee', 'meta', $redirect, $debut_page);
+    if ($res) {
+        if (!is_array($res)) {
+            spip_log("Pb d'acces SQL a la mise a jour", 'maj.' . _LOG_ERREUR);
+        } else {
+            echo _T('avis_operation_echec') . ' ' . join(' ', $res);
+            echo install_fin_html();
+        }
+    }
+
+    return $res;
 }
 
 /**
@@ -200,53 +200,53 @@ 
  */
 function maj_plugin($nom_meta_base_version, $version_cible, $maj, $table_meta = 'meta') {
 
-	if ($table_meta !== 'meta') {
-		installer_table_meta($table_meta);
-	}
-
-	$current_version = null;
-
-	if (
-		(!isset($GLOBALS[$table_meta][$nom_meta_base_version]))
-		|| (!spip_version_compare($current_version = $GLOBALS[$table_meta][$nom_meta_base_version], $version_cible, '='))
-	) {
-		// $maj['create'] contient les directives propres a la premiere creation de base
-		// c'est une operation derogatoire qui fait aboutir directement dans la version_cible
-		if (isset($maj['create'])) {
-			if (!isset($GLOBALS[$table_meta][$nom_meta_base_version])) {
-				// installation : on ne fait que l'operation create
-				$maj = ['init' => $maj['create']];
-				// et on lui ajoute un appel a inc/config
-				// pour creer les metas par defaut
-				$config = charger_fonction('config', 'inc');
-				$maj[$version_cible] = [[$config]];
-			}
-			// dans tous les cas enlever cet index du tableau
-			unset($maj['create']);
-		}
-		// si init, deja dans le bon ordre
-		if (!isset($maj['init'])) {
-			include_spip('inc/plugin'); // pour spip_version_compare
-			uksort($maj, 'spip_version_compare');
-		}
-
-		// la redirection se fait par defaut sur la page d'administration des plugins
-		// sauf lorsque nous sommes sur l'installation de SPIP
-		// ou define _REDIRECT_MAJ_PLUGIN
-		$redirect = (defined('_REDIRECT_MAJ_PLUGIN') ? _REDIRECT_MAJ_PLUGIN : generer_url_ecrire('admin_plugin'));
-		if (defined('_ECRIRE_INSTALL')) {
-			$redirect = parametre_url(generer_url_ecrire('install'), 'etape', _request('etape'));
-		}
-
-		$res = maj_while($current_version, $version_cible, $maj, $nom_meta_base_version, $table_meta, $redirect);
-		if ($res) {
-			if (!is_array($res)) {
-				spip_log("Pb d'acces SQL a la mise a jour", 'maj.' . _LOG_ERREUR);
-			} else {
-				echo '<p>' . _T('avis_operation_echec') . ' ' . join(' ', $res) . '</p>';
-			}
-		}
-	}
+    if ($table_meta !== 'meta') {
+        installer_table_meta($table_meta);
+    }
+
+    $current_version = null;
+
+    if (
+        (!isset($GLOBALS[$table_meta][$nom_meta_base_version]))
+        || (!spip_version_compare($current_version = $GLOBALS[$table_meta][$nom_meta_base_version], $version_cible, '='))
+    ) {
+        // $maj['create'] contient les directives propres a la premiere creation de base
+        // c'est une operation derogatoire qui fait aboutir directement dans la version_cible
+        if (isset($maj['create'])) {
+            if (!isset($GLOBALS[$table_meta][$nom_meta_base_version])) {
+                // installation : on ne fait que l'operation create
+                $maj = ['init' => $maj['create']];
+                // et on lui ajoute un appel a inc/config
+                // pour creer les metas par defaut
+                $config = charger_fonction('config', 'inc');
+                $maj[$version_cible] = [[$config]];
+            }
+            // dans tous les cas enlever cet index du tableau
+            unset($maj['create']);
+        }
+        // si init, deja dans le bon ordre
+        if (!isset($maj['init'])) {
+            include_spip('inc/plugin'); // pour spip_version_compare
+            uksort($maj, 'spip_version_compare');
+        }
+
+        // la redirection se fait par defaut sur la page d'administration des plugins
+        // sauf lorsque nous sommes sur l'installation de SPIP
+        // ou define _REDIRECT_MAJ_PLUGIN
+        $redirect = (defined('_REDIRECT_MAJ_PLUGIN') ? _REDIRECT_MAJ_PLUGIN : generer_url_ecrire('admin_plugin'));
+        if (defined('_ECRIRE_INSTALL')) {
+            $redirect = parametre_url(generer_url_ecrire('install'), 'etape', _request('etape'));
+        }
+
+        $res = maj_while($current_version, $version_cible, $maj, $nom_meta_base_version, $table_meta, $redirect);
+        if ($res) {
+            if (!is_array($res)) {
+                spip_log("Pb d'acces SQL a la mise a jour", 'maj.' . _LOG_ERREUR);
+            } else {
+                echo '<p>' . _T('avis_operation_echec') . ' ' . join(' ', $res) . '</p>';
+            }
+        }
+    }
 }
 
 /**
@@ -263,17 +263,17 @@ 
  * @return void
  */
 function relance_maj($meta, $table, $redirect = '') {
-	include_spip('inc/headers');
-	if (!$redirect) {
-		// recuperer la valeur installee en cours
-		// on la tronque numeriquement, elle ne sert pas reellement
-		// sauf pour verifier que ce n'est pas oui ou non
-		// sinon is_numeric va echouer sur un numero de version 1.2.3
-		$installee = intval($GLOBALS[$table][$meta]);
-		$redirect = generer_url_ecrire('upgrade', "reinstall=$installee&meta=$meta&table=$table", true);
-	}
-	echo redirige_formulaire($redirect);
-	exit();
+    include_spip('inc/headers');
+    if (!$redirect) {
+        // recuperer la valeur installee en cours
+        // on la tronque numeriquement, elle ne sert pas reellement
+        // sauf pour verifier que ce n'est pas oui ou non
+        // sinon is_numeric va echouer sur un numero de version 1.2.3
+        $installee = intval($GLOBALS[$table][$meta]);
+        $redirect = generer_url_ecrire('upgrade', "reinstall=$installee&meta=$meta&table=$table", true);
+    }
+    echo redirige_formulaire($redirect);
+    exit();
 }
 
 /**
@@ -286,28 +286,28 @@ 
  * @return void
  */
 function maj_debut_page($installee, $meta, $table) {
-	static $done = false;
-	if ($done) {
-		return;
-	}
-	include_spip('inc/minipres');
-	if (function_exists('ini_set')) {
-		@ini_set('zlib.output_compression', '0'); // pour permettre l'affichage au fur et a mesure
-	}
-	$timeout = _UPGRADE_TIME_OUT * 2;
-	$titre = _T('titre_page_upgrade');
-	$balise_img = charger_filtre('balise_img');
-	$titre .= $balise_img(chemin_image('loader.svg'), '', 'loader');
-	echo(install_debut_html($titre));
-	// script de rechargement auto sur timeout
-	$redirect = generer_url_ecrire('upgrade', "reinstall=$installee&meta=$meta&table=$table", true);
-	echo http_script("window.setTimeout('location.href=\"" . $redirect . "\";'," . ($timeout * 1000) . ')');
-	echo "<div style='text-align: left'>\n";
-	if (ob_get_level()) {
-		ob_flush();
-	}
-	flush();
-	$done = true;
+    static $done = false;
+    if ($done) {
+        return;
+    }
+    include_spip('inc/minipres');
+    if (function_exists('ini_set')) {
+        @ini_set('zlib.output_compression', '0'); // pour permettre l'affichage au fur et a mesure
+    }
+    $timeout = _UPGRADE_TIME_OUT * 2;
+    $titre = _T('titre_page_upgrade');
+    $balise_img = charger_filtre('balise_img');
+    $titre .= $balise_img(chemin_image('loader.svg'), '', 'loader');
+    echo(install_debut_html($titre));
+    // script de rechargement auto sur timeout
+    $redirect = generer_url_ecrire('upgrade', "reinstall=$installee&meta=$meta&table=$table", true);
+    echo http_script("window.setTimeout('location.href=\"" . $redirect . "\";'," . ($timeout * 1000) . ')');
+    echo "<div style='text-align: left'>\n";
+    if (ob_get_level()) {
+        ob_flush();
+    }
+    flush();
+    $done = true;
 }
 
 
@@ -351,64 +351,64 @@ 
  *    - tableau vide sinon.
  */
 function maj_while($installee, $cible, $maj, $meta = '', $table = 'meta', $redirect = '', $debut_page = false) {
-	# inclusions pour que les procedures d'upgrade disposent des fonctions de base
-	include_spip('base/create');
-	include_spip('base/abstract_sql');
-	$trouver_table = charger_fonction('trouver_table', 'base');
-	include_spip('inc/plugin'); // pour spip_version_compare
-	$n = 0;
-	$time = time();
-
-	if (!defined('_TIME_OUT')) {
-		/**
-		 * Définir le timeout qui peut-être utilisé dans les fonctions
-		 * de mises à jour qui durent trop longtemps
-		 *
-		 * À utiliser tel que : `if (time() >= _TIME_OUT)`
-		 *
-		 * @var int
-		 */
-		define('_TIME_OUT', $time + _UPGRADE_TIME_OUT);
-	}
-
-	foreach ($maj as $v => $operations) {
-		// si une maj pour cette version
-		if (
-			$v == 'init' or
-			(spip_version_compare($v, $installee, '>')
-				and spip_version_compare($v, $cible, '<='))
-		) {
-			if ($debut_page) {
-				maj_debut_page($v, $meta, $table);
-			}
-			echo "MAJ $v";
-			$etape = serie_alter($v, $operations, $meta, $table, $redirect);
-			$trouver_table(''); // vider le cache des descriptions de table
-			# echec sur une etape en cours ?
-			# on sort
-			if ($etape) {
-				return [$v, $etape];
-			}
-			$n = time() - $time;
-			spip_log("$table $meta: $v en $n secondes", 'maj.' . _LOG_INFO_IMPORTANTE);
-			if ($meta) {
-				ecrire_meta($meta, $installee = $v, 'oui', $table);
-			}
-			echo (_IS_CLI ? "\n" : '<br />');
-		}
-		if (time() >= _TIME_OUT) {
-			relance_maj($meta, $table, $redirect);
-		}
-	}
-	$trouver_table(''); // vider le cache des descriptions de table
-	// indispensable pour les chgt de versions qui n'ecrivent pas en base
-	// tant pis pour la redondance eventuelle avec ci-dessus
-	if ($meta) {
-		ecrire_meta($meta, $cible, 'oui', $table);
-	}
-	spip_log("MAJ terminee. $meta: $installee", 'maj.' . _LOG_INFO_IMPORTANTE);
-
-	return [];
+    # inclusions pour que les procedures d'upgrade disposent des fonctions de base
+    include_spip('base/create');
+    include_spip('base/abstract_sql');
+    $trouver_table = charger_fonction('trouver_table', 'base');
+    include_spip('inc/plugin'); // pour spip_version_compare
+    $n = 0;
+    $time = time();
+
+    if (!defined('_TIME_OUT')) {
+        /**
+         * Définir le timeout qui peut-être utilisé dans les fonctions
+         * de mises à jour qui durent trop longtemps
+         *
+         * À utiliser tel que : `if (time() >= _TIME_OUT)`
+         *
+         * @var int
+         */
+        define('_TIME_OUT', $time + _UPGRADE_TIME_OUT);
+    }
+
+    foreach ($maj as $v => $operations) {
+        // si une maj pour cette version
+        if (
+            $v == 'init' or
+            (spip_version_compare($v, $installee, '>')
+                and spip_version_compare($v, $cible, '<='))
+        ) {
+            if ($debut_page) {
+                maj_debut_page($v, $meta, $table);
+            }
+            echo "MAJ $v";
+            $etape = serie_alter($v, $operations, $meta, $table, $redirect);
+            $trouver_table(''); // vider le cache des descriptions de table
+            # echec sur une etape en cours ?
+            # on sort
+            if ($etape) {
+                return [$v, $etape];
+            }
+            $n = time() - $time;
+            spip_log("$table $meta: $v en $n secondes", 'maj.' . _LOG_INFO_IMPORTANTE);
+            if ($meta) {
+                ecrire_meta($meta, $installee = $v, 'oui', $table);
+            }
+            echo (_IS_CLI ? "\n" : '<br />');
+        }
+        if (time() >= _TIME_OUT) {
+            relance_maj($meta, $table, $redirect);
+        }
+    }
+    $trouver_table(''); // vider le cache des descriptions de table
+    // indispensable pour les chgt de versions qui n'ecrivent pas en base
+    // tant pis pour la redondance eventuelle avec ci-dessus
+    if ($meta) {
+        ecrire_meta($meta, $cible, 'oui', $table);
+    }
+    spip_log("MAJ terminee. $meta: $installee", 'maj.' . _LOG_INFO_IMPORTANTE);
+
+    return [];
 }
 
 /**
@@ -431,53 +431,53 @@ 
  * @return int
  */
 function serie_alter($serie, $q = [], $meta = '', $table = 'meta', $redirect = '') {
-	$meta2 = $meta . '_maj_' . $serie;
-	$etape = 0;
-	if (isset($GLOBALS[$table][$meta2])) {
-		$etape = intval($GLOBALS[$table][$meta2]);
-	}
-	foreach ($q as $i => $r) {
-		if ($i >= $etape) {
-			$msg = "maj $table $meta2 etape $i";
-			if (
-				is_array($r)
-				and function_exists($f = array_shift($r))
-			) {
-				// note: $r (arguments de la fonction $f) peut avoir des données tabulaires
-				spip_log("$msg: $f " . @join(',', $r), 'maj.' . _LOG_INFO_IMPORTANTE);
-				// pour les fonctions atomiques sql_xx
-				// on enregistre le meta avant de lancer la fonction,
-				// de maniere a eviter de boucler sur timeout
-				// mais pour les fonctions complexes,
-				// il faut les rejouer jusqu'a achevement.
-				// C'est a elle d'assurer qu'elles progressent a chaque rappel
-				if (strncmp($f, 'sql_', 4) == 0) {
-					ecrire_meta($meta2, $i + 1, 'non', $table);
-				}
-				echo (_IS_CLI ? '.' : " <span title='$i'>.</span>");
-				$f(...$r);
-				// si temps imparti depasse, on relance sans ecrire en meta
-				// car on est peut etre sorti sur timeout si c'est une fonction longue
-				if (time() >= _TIME_OUT) {
-					relance_maj($meta, $table, $redirect);
-				}
-				ecrire_meta($meta2, $i + 1, 'non', $table);
-				spip_log("$meta2: ok", 'maj.' . _LOG_INFO_IMPORTANTE);
-			} else {
-				if (!is_array($r)) {
-					spip_log("maj $i format incorrect", 'maj.' . _LOG_ERREUR);
-				} else {
-					spip_log("maj $i fonction $f non definie", 'maj.' . _LOG_ERREUR);
-				}
-				// en cas d'erreur serieuse, on s'arrete
-				// mais on permet de passer par dessus en rechargeant la page.
-				return $i + 1;
-			}
-		}
-	}
-	effacer_meta($meta2, $table);
-
-	return 0;
+    $meta2 = $meta . '_maj_' . $serie;
+    $etape = 0;
+    if (isset($GLOBALS[$table][$meta2])) {
+        $etape = intval($GLOBALS[$table][$meta2]);
+    }
+    foreach ($q as $i => $r) {
+        if ($i >= $etape) {
+            $msg = "maj $table $meta2 etape $i";
+            if (
+                is_array($r)
+                and function_exists($f = array_shift($r))
+            ) {
+                // note: $r (arguments de la fonction $f) peut avoir des données tabulaires
+                spip_log("$msg: $f " . @join(',', $r), 'maj.' . _LOG_INFO_IMPORTANTE);
+                // pour les fonctions atomiques sql_xx
+                // on enregistre le meta avant de lancer la fonction,
+                // de maniere a eviter de boucler sur timeout
+                // mais pour les fonctions complexes,
+                // il faut les rejouer jusqu'a achevement.
+                // C'est a elle d'assurer qu'elles progressent a chaque rappel
+                if (strncmp($f, 'sql_', 4) == 0) {
+                    ecrire_meta($meta2, $i + 1, 'non', $table);
+                }
+                echo (_IS_CLI ? '.' : " <span title='$i'>.</span>");
+                $f(...$r);
+                // si temps imparti depasse, on relance sans ecrire en meta
+                // car on est peut etre sorti sur timeout si c'est une fonction longue
+                if (time() >= _TIME_OUT) {
+                    relance_maj($meta, $table, $redirect);
+                }
+                ecrire_meta($meta2, $i + 1, 'non', $table);
+                spip_log("$meta2: ok", 'maj.' . _LOG_INFO_IMPORTANTE);
+            } else {
+                if (!is_array($r)) {
+                    spip_log("maj $i format incorrect", 'maj.' . _LOG_ERREUR);
+                } else {
+                    spip_log("maj $i fonction $f non definie", 'maj.' . _LOG_ERREUR);
+                }
+                // en cas d'erreur serieuse, on s'arrete
+                // mais on permet de passer par dessus en rechargeant la page.
+                return $i + 1;
+            }
+        }
+    }
+    effacer_meta($meta2, $table);
+
+    return 0;
 }
 
 /**
@@ -486,16 +486,16 @@ 
  * @return bool True si possible.
  **/
 function upgrade_test() {
-	sql_drop_table('spip_test', true);
-	sql_create('spip_test', ['a' => 'int']);
-	sql_alter('TABLE spip_test ADD b INT');
-	sql_insertq('spip_test', ['b' => 1], ['field' => ['b' => 'int']]);
-	$result = sql_select('b', 'spip_test');
-	// ne pas garder le resultat de la requete sinon sqlite3
-	// ne peut pas supprimer la table spip_test lors du sql_alter qui suit
-	// car cette table serait alors 'verouillee'
-	$result = $result ? true : false;
-	sql_alter('TABLE spip_test DROP b');
-
-	return $result;
+    sql_drop_table('spip_test', true);
+    sql_create('spip_test', ['a' => 'int']);
+    sql_alter('TABLE spip_test ADD b INT');
+    sql_insertq('spip_test', ['b' => 1], ['field' => ['b' => 'int']]);
+    $result = sql_select('b', 'spip_test');
+    // ne pas garder le resultat de la requete sinon sqlite3
+    // ne peut pas supprimer la table spip_test lors du sql_alter qui suit
+    // car cette table serait alors 'verouillee'
+    $result = $result ? true : false;
+    sql_alter('TABLE spip_test DROP b');
+
+    return $result;
 }

ecrire/balise/formulaire_.php

Indentation +266 added lines, -266 removed lines

@@ -16,7 +16,7 @@ 
  * @package SPIP\Core\Formulaires
  **/
 if (!defined('_ECRIRE_INC_VERSION')) {
-	return;
+    return;
 }
 
 include_spip('inc/filtres');
@@ -35,22 +35,22 @@ 
  *     Saisie protégée
  **/
 function protege_champ($texte) {
-	if (is_array($texte)) {
-		return array_map('protege_champ', $texte);
-	} elseif ($texte === null) {
-		return $texte;
-	} elseif (is_bool($texte)) {
-		return $texte ? '1' : '';
-	} elseif (is_string($texte) and $texte) {
-		if (preg_match(',^[abis]:\d+[:;],', $texte) and @unserialize($texte) !== false) {
-			// ne pas corrompre une valeur serialize
-			return $texte;
-		} elseif (strpbrk($texte, "&\"'<>") !== false) {
-			return spip_htmlspecialchars($texte, ENT_QUOTES);
-		}
-	}
-
-	return $texte;
+    if (is_array($texte)) {
+        return array_map('protege_champ', $texte);
+    } elseif ($texte === null) {
+        return $texte;
+    } elseif (is_bool($texte)) {
+        return $texte ? '1' : '';
+    } elseif (is_string($texte) and $texte) {
+        if (preg_match(',^[abis]:\d+[:;],', $texte) and @unserialize($texte) !== false) {
+            // ne pas corrompre une valeur serialize
+            return $texte;
+        } elseif (strpbrk($texte, "&\"'<>") !== false) {
+            return spip_htmlspecialchars($texte, ENT_QUOTES);
+        }
+    }
+
+    return $texte;
 }
 
 /**
@@ -64,17 +64,17 @@ 
  *     - false : pas de squelette trouvé
  **/
 function existe_formulaire($form) {
-	if (substr($form, 0, 11) == 'FORMULAIRE_') {
-		$form = strtolower(substr($form, 11));
-	} else {
-		$form = strtolower($form);
-	}
+    if (substr($form, 0, 11) == 'FORMULAIRE_') {
+        $form = strtolower(substr($form, 11));
+    } else {
+        $form = strtolower($form);
+    }
 
-	if (!$form) {
-		return '';
-	} // on ne sait pas, le nom du formulaire n'est pas fourni ici
+    if (!$form) {
+        return '';
+    } // on ne sait pas, le nom du formulaire n'est pas fourni ici
 
-	return trouver_fond($form, 'formulaires/') ? $form : false;
+    return trouver_fond($form, 'formulaires/') ? $form : false;
 }
 
 /**
@@ -83,31 +83,31 @@ 
  * @return false|array
  */
 function test_formulaire_inclus_par_modele() {
-	$trace = debug_backtrace(0, 20);
-	$trace_fonctions = array_column($trace, 'function');
-	$trace_fonctions = array_map('strtolower', $trace_fonctions);
-
-	// regarder si un flag a ete leve juste avant l'appel de balise_FORMULAIRE_dyn
-	if (
-		function_exists('arguments_balise_dyn_depuis_modele')
-		and $form = arguments_balise_dyn_depuis_modele(null, 'read')
-	) {
-		if (in_array('balise_formulaire__dyn', $trace_fonctions)) {
-			$k = array_search('balise_formulaire__dyn', $trace_fonctions);
-			if ($trace[$k]['args'][0] === $form) {
-				return $trace[$k]['args'];
-			}
-		}
-	}
-
-	// fallback qui ne repose pas sur le flag lie a l'analyse de contexte_compil,
-	// mais ne marche pas si executer_balise_dynamique est appelee via du php dans le squelette
-	if (in_array('eval', $trace_fonctions) and in_array('inclure_modele', $trace_fonctions)) {
-		$k = array_search('inclure_modele', $trace_fonctions);
-		// les arguments de recuperer_fond() passes par inclure_modele()
-		return $trace[$k - 1]['args'][1]['args'];
-	}
-	return false;
+    $trace = debug_backtrace(0, 20);
+    $trace_fonctions = array_column($trace, 'function');
+    $trace_fonctions = array_map('strtolower', $trace_fonctions);
+
+    // regarder si un flag a ete leve juste avant l'appel de balise_FORMULAIRE_dyn
+    if (
+        function_exists('arguments_balise_dyn_depuis_modele')
+        and $form = arguments_balise_dyn_depuis_modele(null, 'read')
+    ) {
+        if (in_array('balise_formulaire__dyn', $trace_fonctions)) {
+            $k = array_search('balise_formulaire__dyn', $trace_fonctions);
+            if ($trace[$k]['args'][0] === $form) {
+                return $trace[$k]['args'];
+            }
+        }
+    }
+
+    // fallback qui ne repose pas sur le flag lie a l'analyse de contexte_compil,
+    // mais ne marche pas si executer_balise_dynamique est appelee via du php dans le squelette
+    if (in_array('eval', $trace_fonctions) and in_array('inclure_modele', $trace_fonctions)) {
+        $k = array_search('inclure_modele', $trace_fonctions);
+        // les arguments de recuperer_fond() passes par inclure_modele()
+        return $trace[$k - 1]['args'][1]['args'];
+    }
+    return false;
 }
 
 /**
@@ -122,32 +122,32 @@ 
  **/
 function balise_FORMULAIRE__dist($p) {
 
-	// Cas d'un #FORMULAIRE_TOTO inexistant : renvoyer la chaine vide.
-	// mais si #FORMULAIRE_{toto} on ne peut pas savoir a la compilation, continuer
-	if (existe_formulaire($p->nom_champ) === false) {
-		$p->code = "''";
-		$p->interdire_scripts = false;
-
-		return $p;
-	}
-
-	// sinon renvoyer un code php dynamique
-	$p = calculer_balise_dynamique($p, $p->nom_champ, []);
-
-	if (
-		!test_espace_prive()
-		and !empty($p->descr['sourcefile'])
-		and $f = $p->descr['sourcefile']
-		and basename(dirname($f)) === 'modeles'
-	) {
-		// un modele est toujours inséré en texte dans son contenant
-		// donc si on est dans le public avec un cache on va perdre le dynamisme
-		// et on risque de mettre en cache les valeurs pre-remplies du formulaire
-		// on injecte donc le PHP qui va appeler la fonction pour generer le formulaire au lieu de directement la fonction
-		$p->code = "'<'.'?php echo (" . texte_script($p->code) . "); ?'.'>'";
-		// dans l'espace prive on a pas de cache, donc pas de soucis (et un leak serait moins grave)
-	}
-	return $p;
+    // Cas d'un #FORMULAIRE_TOTO inexistant : renvoyer la chaine vide.
+    // mais si #FORMULAIRE_{toto} on ne peut pas savoir a la compilation, continuer
+    if (existe_formulaire($p->nom_champ) === false) {
+        $p->code = "''";
+        $p->interdire_scripts = false;
+
+        return $p;
+    }
+
+    // sinon renvoyer un code php dynamique
+    $p = calculer_balise_dynamique($p, $p->nom_champ, []);
+
+    if (
+        !test_espace_prive()
+        and !empty($p->descr['sourcefile'])
+        and $f = $p->descr['sourcefile']
+        and basename(dirname($f)) === 'modeles'
+    ) {
+        // un modele est toujours inséré en texte dans son contenant
+        // donc si on est dans le public avec un cache on va perdre le dynamisme
+        // et on risque de mettre en cache les valeurs pre-remplies du formulaire
+        // on injecte donc le PHP qui va appeler la fonction pour generer le formulaire au lieu de directement la fonction
+        $p->code = "'<'.'?php echo (" . texte_script($p->code) . "); ?'.'>'";
+        // dans l'espace prive on a pas de cache, donc pas de soucis (et un leak serait moins grave)
+    }
+    return $p;
 }
 
 /**
@@ -167,17 +167,17 @@ 
  *     - string : texte à afficher directement
  */
 function balise_FORMULAIRE__dyn($form, ...$args) {
-	$form = existe_formulaire($form);
-	if (!$form) {
-		return '';
-	}
+    $form = existe_formulaire($form);
+    if (!$form) {
+        return '';
+    }
 
-	$contexte = balise_FORMULAIRE__contexte($form, $args);
-	if (!is_array($contexte)) {
-		return $contexte;
-	}
+    $contexte = balise_FORMULAIRE__contexte($form, $args);
+    if (!is_array($contexte)) {
+        return $contexte;
+    }
 
-	return ["formulaires/$form", 3600, $contexte];
+    return ["formulaires/$form", 3600, $contexte];
 }
 
 /**
@@ -192,84 +192,84 @@ 
  *     string: Formulaire non applicable (message d’explication)
  **/
 function balise_FORMULAIRE__contexte($form, $args) {
-	// tester si ce formulaire vient d'etre poste (memes arguments)
-	// pour ne pas confondre 2 #FORMULAIRES_XX identiques sur une meme page
-	// si poste, on recupere les erreurs
-
-	$je_suis_poste = false;
-	if (
-		$post_form = _request('formulaire_action')
-		and $post_form == $form
-		and $p = _request('formulaire_action_args')
-		and is_array($p = decoder_contexte_ajax($p, $post_form))
-	) {
-		// enlever le faux attribut de langue masque
-		array_shift($p);
-		if (formulaire__identifier($form, $args, $p)) {
-			$je_suis_poste = true;
-		}
-	}
-
-	$editable = true;
-	$erreurs = $post = [];
-	if ($je_suis_poste) {
-		$post = traiter_formulaires_dynamiques(true);
-		$e = "erreurs_$form";
-		$erreurs = $post[$e] ?? [];
-		$editable = "editable_$form";
-		$editable = (!isset($post[$e]))
-			|| (is_countable($erreurs) ? count($erreurs) : 0)
-			|| (isset($post[$editable]) && $post[$editable]);
-	}
-
-	$valeurs = formulaire__charger($form, $args, $je_suis_poste);
-
-	// si $valeurs n'est pas un tableau, le formulaire n'est pas applicable
-	// C'est plus fort qu'editable qui est gere par le squelette
-	// Idealement $valeur doit etre alors un message explicatif.
-	if (!is_array($valeurs)) {
-		return is_string($valeurs) ? $valeurs : '';
-	}
-
-	// charger peut passer une action si le formulaire ne tourne pas sur self()
-	// ou une action vide si elle ne sert pas
-	$action = $valeurs['action'] ?? self('&amp;', true);
-	// bug IEx : si action finit par /
-	// IE croit que le <form ... action=../ > est autoferme
-	if (substr($action, -1) == '/') {
-		// on ajoute une ancre pour feinter IE, au pire ca tue l'ancre qui finit par un /
-		$action .= '#';
-	}
-
-	// recuperer la saisie en cours si erreurs
-	// seulement si c'est ce formulaire qui est poste
-	// ou si on le demande explicitement par le parametre _forcer_request = true
-	$dispo = ($je_suis_poste || (isset($valeurs['_forcer_request']) && $valeurs['_forcer_request']));
-	foreach (array_keys($valeurs) as $champ) {
-		if ($champ[0] !== '_' and !in_array($champ, ['message_ok', 'message_erreur', 'editable'])) {
-			if ($dispo and (($v = _request($champ)) !== null)) {
-				$valeurs[$champ] = $v;
-			}
-			// nettoyer l'url des champs qui vont etre saisis
-			if ($action) {
-				$action = parametre_url($action, $champ, '');
-			}
-			// proteger les ' et les " dans les champs que l'on va injecter
-			$valeurs[$champ] = protege_champ($valeurs[$champ]);
-		}
-	}
-
-	if ($action) {
-		// nettoyer l'url
-		$action = parametre_url($action, 'formulaire_action', '');
-		$action = parametre_url($action, 'formulaire_action_args', '');
-	}
-
-	/**
-	 * @deprecated 4.0
-	 * servait pour poster sur les actions de type editer_xxx() qui ne prenaient pas d'argument autrement que par _request('arg') et pour lesquelles il fallait donc passer un hash valide
-	 */
-	/*
+    // tester si ce formulaire vient d'etre poste (memes arguments)
+    // pour ne pas confondre 2 #FORMULAIRES_XX identiques sur une meme page
+    // si poste, on recupere les erreurs
+
+    $je_suis_poste = false;
+    if (
+        $post_form = _request('formulaire_action')
+        and $post_form == $form
+        and $p = _request('formulaire_action_args')
+        and is_array($p = decoder_contexte_ajax($p, $post_form))
+    ) {
+        // enlever le faux attribut de langue masque
+        array_shift($p);
+        if (formulaire__identifier($form, $args, $p)) {
+            $je_suis_poste = true;
+        }
+    }
+
+    $editable = true;
+    $erreurs = $post = [];
+    if ($je_suis_poste) {
+        $post = traiter_formulaires_dynamiques(true);
+        $e = "erreurs_$form";
+        $erreurs = $post[$e] ?? [];
+        $editable = "editable_$form";
+        $editable = (!isset($post[$e]))
+            || (is_countable($erreurs) ? count($erreurs) : 0)
+            || (isset($post[$editable]) && $post[$editable]);
+    }
+
+    $valeurs = formulaire__charger($form, $args, $je_suis_poste);
+
+    // si $valeurs n'est pas un tableau, le formulaire n'est pas applicable
+    // C'est plus fort qu'editable qui est gere par le squelette
+    // Idealement $valeur doit etre alors un message explicatif.
+    if (!is_array($valeurs)) {
+        return is_string($valeurs) ? $valeurs : '';
+    }
+
+    // charger peut passer une action si le formulaire ne tourne pas sur self()
+    // ou une action vide si elle ne sert pas
+    $action = $valeurs['action'] ?? self('&amp;', true);
+    // bug IEx : si action finit par /
+    // IE croit que le <form ... action=../ > est autoferme
+    if (substr($action, -1) == '/') {
+        // on ajoute une ancre pour feinter IE, au pire ca tue l'ancre qui finit par un /
+        $action .= '#';
+    }
+
+    // recuperer la saisie en cours si erreurs
+    // seulement si c'est ce formulaire qui est poste
+    // ou si on le demande explicitement par le parametre _forcer_request = true
+    $dispo = ($je_suis_poste || (isset($valeurs['_forcer_request']) && $valeurs['_forcer_request']));
+    foreach (array_keys($valeurs) as $champ) {
+        if ($champ[0] !== '_' and !in_array($champ, ['message_ok', 'message_erreur', 'editable'])) {
+            if ($dispo and (($v = _request($champ)) !== null)) {
+                $valeurs[$champ] = $v;
+            }
+            // nettoyer l'url des champs qui vont etre saisis
+            if ($action) {
+                $action = parametre_url($action, $champ, '');
+            }
+            // proteger les ' et les " dans les champs que l'on va injecter
+            $valeurs[$champ] = protege_champ($valeurs[$champ]);
+        }
+    }
+
+    if ($action) {
+        // nettoyer l'url
+        $action = parametre_url($action, 'formulaire_action', '');
+        $action = parametre_url($action, 'formulaire_action_args', '');
+    }
+
+    /**
+     * @deprecated 4.0
+     * servait pour poster sur les actions de type editer_xxx() qui ne prenaient pas d'argument autrement que par _request('arg') et pour lesquelles il fallait donc passer un hash valide
+     */
+    /*
 	if (isset($valeurs['_action'])) {
 		$securiser_action = charger_fonction('securiser_action', 'inc');
 		$secu = $securiser_action(reset($valeurs['_action']), end($valeurs['_action']), '', -1);
@@ -279,59 +279,59 @@ 
 	}
 	*/
 
-	// empiler la lang en tant que premier argument implicite du CVT
-	// pour permettre de la restaurer au moment du Verifier et du Traiter
-	array_unshift($args, $GLOBALS['spip_lang']);
-
-	$valeurs['formulaire_args'] = encoder_contexte_ajax($args, $form);
-	$valeurs['erreurs'] = $erreurs;
-	$valeurs['action'] = $action;
-	$valeurs['form'] = $form;
-
-	$valeurs['formulaire_sign'] = '';
-	if (!empty($GLOBALS['visiteur_session']['id_auteur'])) {
-		$securiser_action = charger_fonction('securiser_action', 'inc');
-		$secu = $securiser_action($valeurs['form'], $valeurs['formulaire_args'], '', -1);
-		$valeurs['formulaire_sign'] = $secu['hash'];
-	}
-
-	if (!isset($valeurs['id'])) {
-		$valeurs['id'] = 'new';
-	}
-	// editable peut venir de charger() ou de traiter() sinon
-	if (!isset($valeurs['editable'])) {
-		$valeurs['editable'] = $editable;
-	}
-	// dans tous les cas, renvoyer un espace ou vide (et pas un booleen)
-	$valeurs['editable'] = ($valeurs['editable'] ? ' ' : '');
-
-	if ($je_suis_poste) {
-		$valeurs['message_erreur'] = '';
-		if (isset($erreurs['message_erreur'])) {
-			$valeurs['message_erreur'] = $erreurs['message_erreur'];
-		}
-
-		$valeurs['message_ok'] = '';
-		if (isset($post["message_ok_$form"])) {
-			$valeurs['message_ok'] = $post["message_ok_$form"];
-		} elseif (isset($erreurs['message_ok'])) {
-			$valeurs['message_ok'] = $erreurs['message_ok'];
-		}
-
-		// accessibilite : encapsuler toutes les erreurs dans un role='alert'
-		// uniquement si c'est une string et au premier niveau (on ne touche pas au tableaux)
-		// et si $k ne commence pas par un _ (c'est bien une vrai erreur sur un vrai champ)
-		if (html5_permis()) {
-			foreach ($erreurs as $k => $v) {
-				if (is_string($v) and strlen(trim($v)) and strpos($k, '_') !== 0) {
-					// on encapsule dans un span car ces messages sont en general simple, juste du texte, et deja dans un span dans le form
-					$valeurs['erreurs'][$k] = "<span role='alert'>" . $erreurs[$k] . '</span>';
-				}
-			}
-		}
-	}
-
-	return $valeurs;
+    // empiler la lang en tant que premier argument implicite du CVT
+    // pour permettre de la restaurer au moment du Verifier et du Traiter
+    array_unshift($args, $GLOBALS['spip_lang']);
+
+    $valeurs['formulaire_args'] = encoder_contexte_ajax($args, $form);
+    $valeurs['erreurs'] = $erreurs;
+    $valeurs['action'] = $action;
+    $valeurs['form'] = $form;
+
+    $valeurs['formulaire_sign'] = '';
+    if (!empty($GLOBALS['visiteur_session']['id_auteur'])) {
+        $securiser_action = charger_fonction('securiser_action', 'inc');
+        $secu = $securiser_action($valeurs['form'], $valeurs['formulaire_args'], '', -1);
+        $valeurs['formulaire_sign'] = $secu['hash'];
+    }
+
+    if (!isset($valeurs['id'])) {
+        $valeurs['id'] = 'new';
+    }
+    // editable peut venir de charger() ou de traiter() sinon
+    if (!isset($valeurs['editable'])) {
+        $valeurs['editable'] = $editable;
+    }
+    // dans tous les cas, renvoyer un espace ou vide (et pas un booleen)
+    $valeurs['editable'] = ($valeurs['editable'] ? ' ' : '');
+
+    if ($je_suis_poste) {
+        $valeurs['message_erreur'] = '';
+        if (isset($erreurs['message_erreur'])) {
+            $valeurs['message_erreur'] = $erreurs['message_erreur'];
+        }
+
+        $valeurs['message_ok'] = '';
+        if (isset($post["message_ok_$form"])) {
+            $valeurs['message_ok'] = $post["message_ok_$form"];
+        } elseif (isset($erreurs['message_ok'])) {
+            $valeurs['message_ok'] = $erreurs['message_ok'];
+        }
+
+        // accessibilite : encapsuler toutes les erreurs dans un role='alert'
+        // uniquement si c'est une string et au premier niveau (on ne touche pas au tableaux)
+        // et si $k ne commence pas par un _ (c'est bien une vrai erreur sur un vrai champ)
+        if (html5_permis()) {
+            foreach ($erreurs as $k => $v) {
+                if (is_string($v) and strlen(trim($v)) and strpos($k, '_') !== 0) {
+                    // on encapsule dans un span car ces messages sont en general simple, juste du texte, et deja dans un span dans le form
+                    $valeurs['erreurs'][$k] = "<span role='alert'>" . $erreurs[$k] . '</span>';
+                }
+            }
+        }
+    }
+
+    return $valeurs;
 }
 
 /**
@@ -343,51 +343,51 @@ 
  * @return array
  */
 function formulaire__charger($form, $args, $poste) {
-	if ($charger_valeurs = charger_fonction('charger', "formulaires/$form", true)) {
-		$valeurs = $charger_valeurs(...$args);
-	} else {
-		$valeurs = [];
-	}
-
-	$valeurs = pipeline(
-		'formulaire_charger',
-		[
-			'args' => ['form' => $form, 'args' => $args, 'je_suis_poste' => $poste],
-			'data' => $valeurs
-		]
-	);
-
-	// prise en charge CVT multi etape
-	if (is_array($valeurs) and isset($valeurs['_etapes'])) {
-		include_spip('inc/cvt_multietapes');
-		$valeurs = cvtmulti_formulaire_charger_etapes(
-			['form' => $form, 'args' => $args, 'je_suis_poste' => $poste],
-			$valeurs
-		);
-	}
-
-	// si $valeurs et false ou une chaine, pas de formulaire, donc pas de pipeline !
-	if (is_array($valeurs)) {
-		if (!isset($valeurs['_pipelines'])) {
-			$valeurs['_pipelines'] = [];
-		}
-		// l'ancien argument _pipeline devient maintenant _pipelines
-		// reinjectons le vieux _pipeline au debut de _pipelines
-		if (isset($valeurs['_pipeline'])) {
-			$pipe = is_array($valeurs['_pipeline']) ? reset($valeurs['_pipeline']) : $valeurs['_pipeline'];
-			$args = is_array($valeurs['_pipeline']) ? end($valeurs['_pipeline']) : [];
-
-			$pipelines = [$pipe => $args];
-			$valeurs['_pipelines'] = array_merge($pipelines, $valeurs['_pipelines']);
-		}
-
-		// et enfin, ajoutons systematiquement un pipeline sur le squelette du formulaire
-		// qui constitue le cas le plus courant d'utilisation du pipeline recuperer_fond
-		// (performance, cela evite de s'injecter dans recuperer_fond utilise pour *tous* les squelettes)
-		$valeurs['_pipelines']['formulaire_fond'] = ['form' => $form, 'args' => $args, 'je_suis_poste' => $poste];
-	}
-
-	return $valeurs;
+    if ($charger_valeurs = charger_fonction('charger', "formulaires/$form", true)) {
+        $valeurs = $charger_valeurs(...$args);
+    } else {
+        $valeurs = [];
+    }
+
+    $valeurs = pipeline(
+        'formulaire_charger',
+        [
+            'args' => ['form' => $form, 'args' => $args, 'je_suis_poste' => $poste],
+            'data' => $valeurs
+        ]
+    );
+
+    // prise en charge CVT multi etape
+    if (is_array($valeurs) and isset($valeurs['_etapes'])) {
+        include_spip('inc/cvt_multietapes');
+        $valeurs = cvtmulti_formulaire_charger_etapes(
+            ['form' => $form, 'args' => $args, 'je_suis_poste' => $poste],
+            $valeurs
+        );
+    }
+
+    // si $valeurs et false ou une chaine, pas de formulaire, donc pas de pipeline !
+    if (is_array($valeurs)) {
+        if (!isset($valeurs['_pipelines'])) {
+            $valeurs['_pipelines'] = [];
+        }
+        // l'ancien argument _pipeline devient maintenant _pipelines
+        // reinjectons le vieux _pipeline au debut de _pipelines
+        if (isset($valeurs['_pipeline'])) {
+            $pipe = is_array($valeurs['_pipeline']) ? reset($valeurs['_pipeline']) : $valeurs['_pipeline'];
+            $args = is_array($valeurs['_pipeline']) ? end($valeurs['_pipeline']) : [];
+
+            $pipelines = [$pipe => $args];
+            $valeurs['_pipelines'] = array_merge($pipelines, $valeurs['_pipelines']);
+        }
+
+        // et enfin, ajoutons systematiquement un pipeline sur le squelette du formulaire
+        // qui constitue le cas le plus courant d'utilisation du pipeline recuperer_fond
+        // (performance, cela evite de s'injecter dans recuperer_fond utilise pour *tous* les squelettes)
+        $valeurs['_pipelines']['formulaire_fond'] = ['form' => $form, 'args' => $args, 'je_suis_poste' => $poste];
+    }
+
+    return $valeurs;
 }
 
 /**
@@ -406,9 +406,9 @@ 
  * @return bool
  */
 function formulaire__identifier($form, $args, $p) {
-	if ($identifier_args = charger_fonction('identifier', "formulaires/$form", true)) {
-		return $identifier_args(...$args) === $identifier_args(...$p);
-	}
+    if ($identifier_args = charger_fonction('identifier', "formulaires/$form", true)) {
+        return $identifier_args(...$args) === $identifier_args(...$p);
+    }
 
-	return $args === $p;
+    return $args === $p;
 }

ecrire/xml/sax.php

Indentation +257 added lines, -257 removed lines

@@ -11,7 +11,7 @@ 
 \***************************************************************************/
 
 if (!defined('_ECRIRE_INC_VERSION')) {
-	return;
+    return;
 }
 
 include_spip('inc/charsets');
@@ -24,222 +24,222 @@ 
  * @return string
  */
 function xml_entites_html($texte) {
-	if (
-		!is_string($texte) or !$texte
-		or strpbrk($texte, "&\"'<>") == false
-	) {
-		return $texte;
-	}
-
-	if (!function_exists('spip_htmlspecialchars')) {
-		include_spip('inc/filtres_mini');
-	}
-	$texte = spip_htmlspecialchars($texte, ENT_QUOTES);
-
-	return $texte;
+    if (
+        !is_string($texte) or !$texte
+        or strpbrk($texte, "&\"'<>") == false
+    ) {
+        return $texte;
+    }
+
+    if (!function_exists('spip_htmlspecialchars')) {
+        include_spip('inc/filtres_mini');
+    }
+    $texte = spip_htmlspecialchars($texte, ENT_QUOTES);
+
+    return $texte;
 }
 
 function xml_debutElement($phraseur, $name, $attrs) {
-	$depth = $phraseur->depth;
-
-	$t = $phraseur->ouvrant[$depth] ?? ' ';
-	// espace initial signifie: deja integree au resultat
-	if ($t[0] != ' ') {
-		$phraseur->res .= '<' . $t . '>';
-		$phraseur->ouvrant[$depth] = ' ' . $t;
-	}
-	$t = $phraseur->contenu[$depth];
-	// n'indenter que s'il y a un separateur avant
-	$phraseur->res .= preg_replace("/[\n\t ]+$/", "\n$depth", $t);
-	$phraseur->contenu[$depth] = '';
-	$att = '';
-	$sep = ' ';
-	foreach ($attrs as $k => $v) {
-		$delim = strpos($v, "'") === false ? "'" : '"';
-		$val = xml_entites_html($v);
-		$att .= $sep . $k . '=' . $delim
-			. ($delim !== '"' ? str_replace('&quot;', '"', $val) : $val)
-			. $delim;
-		$sep = "\n $depth";
-	}
-	$phraseur->depth .= '  ';
-	$phraseur->contenu[$phraseur->depth] = '';
-	$phraseur->ouvrant[$phraseur->depth] = $name . $att;
-	$phraseur->reperes[$phraseur->depth] = xml_get_current_line_number($phraseur->sax);
+    $depth = $phraseur->depth;
+
+    $t = $phraseur->ouvrant[$depth] ?? ' ';
+    // espace initial signifie: deja integree au resultat
+    if ($t[0] != ' ') {
+        $phraseur->res .= '<' . $t . '>';
+        $phraseur->ouvrant[$depth] = ' ' . $t;
+    }
+    $t = $phraseur->contenu[$depth];
+    // n'indenter que s'il y a un separateur avant
+    $phraseur->res .= preg_replace("/[\n\t ]+$/", "\n$depth", $t);
+    $phraseur->contenu[$depth] = '';
+    $att = '';
+    $sep = ' ';
+    foreach ($attrs as $k => $v) {
+        $delim = strpos($v, "'") === false ? "'" : '"';
+        $val = xml_entites_html($v);
+        $att .= $sep . $k . '=' . $delim
+            . ($delim !== '"' ? str_replace('&quot;', '"', $val) : $val)
+            . $delim;
+        $sep = "\n $depth";
+    }
+    $phraseur->depth .= '  ';
+    $phraseur->contenu[$phraseur->depth] = '';
+    $phraseur->ouvrant[$phraseur->depth] = $name . $att;
+    $phraseur->reperes[$phraseur->depth] = xml_get_current_line_number($phraseur->sax);
 }
 
 function xml_finElement($phraseur, $name, $fusion_bal = false) {
-	$ouv = $phraseur->ouvrant[$phraseur->depth];
-
-	if ($ouv[0] != ' ') {
-		$phraseur->ouvrant[$phraseur->depth] = ' ' . $ouv;
-	} else {
-		$ouv = '';
-	}
-	$t = $phraseur->contenu[$phraseur->depth];
-	$phraseur->depth = substr($phraseur->depth, 2);
-	$t = preg_replace("/[\n\t ]+$/", "\n" . $phraseur->depth, $t);
-
-	// fusion <balise></balise> en <balise />.
-	// ATTENTION,  certains clients http croient que fusion ==> pas d'atttributs
-	// en particulier pour les balises Script et A.
-	// en presence d'attributs ne le faire que si la DTD est dispo et d'accord
-	// (param fusion_bal)
-
-	if ($t || (($ouv != $name) and !$fusion_bal)) {
-		$phraseur->res .= ($ouv ? ('<' . $ouv . '>') : '') . $t . '</' . $name . '>';
-	} else {
-		$phraseur->res .= ($ouv ? ('<' . $ouv . ' />') : ('</' . $name . '>'));
-	}
+    $ouv = $phraseur->ouvrant[$phraseur->depth];
+
+    if ($ouv[0] != ' ') {
+        $phraseur->ouvrant[$phraseur->depth] = ' ' . $ouv;
+    } else {
+        $ouv = '';
+    }
+    $t = $phraseur->contenu[$phraseur->depth];
+    $phraseur->depth = substr($phraseur->depth, 2);
+    $t = preg_replace("/[\n\t ]+$/", "\n" . $phraseur->depth, $t);
+
+    // fusion <balise></balise> en <balise />.
+    // ATTENTION,  certains clients http croient que fusion ==> pas d'atttributs
+    // en particulier pour les balises Script et A.
+    // en presence d'attributs ne le faire que si la DTD est dispo et d'accord
+    // (param fusion_bal)
+
+    if ($t || (($ouv != $name) and !$fusion_bal)) {
+        $phraseur->res .= ($ouv ? ('<' . $ouv . '>') : '') . $t . '</' . $name . '>';
+    } else {
+        $phraseur->res .= ($ouv ? ('<' . $ouv . ' />') : ('</' . $name . '>'));
+    }
 }
 
 function xml_textElement($phraseur, $data) {
-	$depth = $phraseur->depth;
-	$phraseur->contenu[$depth] .= preg_match('/^script/', $phraseur->ouvrant[$depth])
-		? $data
-		: xml_entites_html($data);
+    $depth = $phraseur->depth;
+    $phraseur->contenu[$depth] .= preg_match('/^script/', $phraseur->ouvrant[$depth])
+        ? $data
+        : xml_entites_html($data);
 }
 
 function xml_piElement($phraseur, $target, $data) {
-	$depth = $phraseur->depth;
-
-	if (strtolower($target) != 'php') {
-		$phraseur->contenu[$depth] .= $data;
-	} else {
-		ob_start();
-		eval($data);
-		$data = ob_get_contents();
-		ob_end_clean();
-		$phraseur->contenu[$depth] .= $data;
-	}
+    $depth = $phraseur->depth;
+
+    if (strtolower($target) != 'php') {
+        $phraseur->contenu[$depth] .= $data;
+    } else {
+        ob_start();
+        eval($data);
+        $data = ob_get_contents();
+        ob_end_clean();
+        $phraseur->contenu[$depth] .= $data;
+    }
 }
 
 
 function xml_defaultElement($phraseur, $data) {
-	$depth = $phraseur->depth;
+    $depth = $phraseur->depth;
 
-	if (!isset($phraseur->contenu[$depth])) {
-		$phraseur->contenu[$depth] = '';
-	}
-	$phraseur->contenu[$depth] .= $data;
+    if (!isset($phraseur->contenu[$depth])) {
+        $phraseur->contenu[$depth] = '';
+    }
+    $phraseur->contenu[$depth] .= $data;
 }
 
 function xml_parsestring($phraseur, $data) {
-	$phraseur->contenu[$phraseur->depth] = '';
-
-	if (!xml_parse($phraseur->sax, $data, true)) {
-		coordonnees_erreur(
-			$phraseur,
-			xml_error_string(xml_get_error_code($phraseur->sax))
-			. "<br />\n" .
-			(!$phraseur->depth ? '' :
-				('(' .
-					_T('erreur_balise_non_fermee') .
-					' <tt>' .
-					$phraseur->ouvrant[$phraseur->depth] .
-					'</tt> ' .
-					_T('ligne') .
-					' ' .
-					$phraseur->reperes[$phraseur->depth] .
-			") <br />\n"))
-		);
-	}
+    $phraseur->contenu[$phraseur->depth] = '';
+
+    if (!xml_parse($phraseur->sax, $data, true)) {
+        coordonnees_erreur(
+            $phraseur,
+            xml_error_string(xml_get_error_code($phraseur->sax))
+            . "<br />\n" .
+            (!$phraseur->depth ? '' :
+                ('(' .
+                    _T('erreur_balise_non_fermee') .
+                    ' <tt>' .
+                    $phraseur->ouvrant[$phraseur->depth] .
+                    '</tt> ' .
+                    _T('ligne') .
+                    ' ' .
+                    $phraseur->reperes[$phraseur->depth] .
+            ") <br />\n"))
+        );
+    }
 }
 
 function coordonnees_erreur($phraseur, $msg) {
-	$entete_length = substr_count($phraseur->entete, "\n");
-	$phraseur->err[] = [
-		$msg,
-		xml_get_current_line_number($phraseur->sax) + $entete_length,
-		xml_get_current_column_number($phraseur->sax)
-	];
+    $entete_length = substr_count($phraseur->entete, "\n");
+    $phraseur->err[] = [
+        $msg,
+        xml_get_current_line_number($phraseur->sax) + $entete_length,
+        xml_get_current_column_number($phraseur->sax)
+    ];
 }
 
 function xml_sax_dist($page, $apply = false, $phraseur = null, $doctype = '', $charset = null) {
-	if (is_null($charset)) {
-		$charset = $GLOBALS['meta']['charset'];
-	}
-	if ($apply) {
-		ob_start();
-		if (is_array($apply)) {
-			$r = $page(...$apply);
-		} else {
-			$r = $page();
-		}
-		$page = ob_get_contents();
-		ob_end_clean();
-		// fonction sans aucun "echo", ca doit etre le resultat
-		if (!$page) {
-			$page = $r;
-		}
-	}
-
-	if (!$page) {
-		return '';
-	}
-	// charger la DTD et transcoder les entites,
-	// et escamoter le doctype que sax mange en php5 mais pas en  php4
-	if (!$doctype) {
-		if (!$r = analyser_doctype($page)) {
-			$page = _MESSAGE_DOCTYPE . _DOCTYPE_ECRIRE
-				. preg_replace(_REGEXP_DOCTYPE, '', $page);
-			$r = analyser_doctype($page);
-		}
-		[$entete, $avail, $grammaire, $rotlvl] = array_pad($r, 4, null);
-		$page = substr($page, strlen($entete));
-	} else {
-		$avail = 'SYSTEM';
-		$grammaire = $doctype;
-		$rotlvl = basename($grammaire);
-	}
-
-	include_spip('xml/analyser_dtd');
-	$dtc = charger_dtd($grammaire, $avail, $rotlvl);
-	$page = sax_bug($page, $dtc, $charset);
-
-	// compatibilite Tidy espace public
-	if (!$phraseur) {
-		$indenter_xml = charger_fonction('indenter', 'xml');
-
-		return $indenter_xml($page, $apply);
-	}
-
-	$xml_parser = xml_parser_create($charset);
-
-	xml_set_element_handler(
-		$xml_parser,
-		[$phraseur, 'debutElement'],
-		[$phraseur, 'finElement']
-	);
-
-	xml_set_character_data_handler(
-		$xml_parser,
-		[$phraseur, 'textElement']
-	);
-
-	xml_set_processing_instruction_handler(
-		$xml_parser,
-		[$phraseur, 'piElement']
-	);
-
-	xml_set_default_handler(
-		$xml_parser,
-		[$phraseur, 'defaultElement']
-	);
-
-	xml_parser_set_option($xml_parser, XML_OPTION_CASE_FOLDING, false);
-
-	$phraseur->sax = $xml_parser;
-	if (isset($entete)) {
-		$phraseur->entete = $entete;
-	}
-	$phraseur->page = $page;
-	$phraseur->dtc = $dtc;
-	$phraseur->phraserTout($xml_parser, $page);
-	xml_parser_free($xml_parser);
-	$phraseur->sax = '';
-
-	return $phraseur;
+    if (is_null($charset)) {
+        $charset = $GLOBALS['meta']['charset'];
+    }
+    if ($apply) {
+        ob_start();
+        if (is_array($apply)) {
+            $r = $page(...$apply);
+        } else {
+            $r = $page();
+        }
+        $page = ob_get_contents();
+        ob_end_clean();
+        // fonction sans aucun "echo", ca doit etre le resultat
+        if (!$page) {
+            $page = $r;
+        }
+    }
+
+    if (!$page) {
+        return '';
+    }
+    // charger la DTD et transcoder les entites,
+    // et escamoter le doctype que sax mange en php5 mais pas en  php4
+    if (!$doctype) {
+        if (!$r = analyser_doctype($page)) {
+            $page = _MESSAGE_DOCTYPE . _DOCTYPE_ECRIRE
+                . preg_replace(_REGEXP_DOCTYPE, '', $page);
+            $r = analyser_doctype($page);
+        }
+        [$entete, $avail, $grammaire, $rotlvl] = array_pad($r, 4, null);
+        $page = substr($page, strlen($entete));
+    } else {
+        $avail = 'SYSTEM';
+        $grammaire = $doctype;
+        $rotlvl = basename($grammaire);
+    }
+
+    include_spip('xml/analyser_dtd');
+    $dtc = charger_dtd($grammaire, $avail, $rotlvl);
+    $page = sax_bug($page, $dtc, $charset);
+
+    // compatibilite Tidy espace public
+    if (!$phraseur) {
+        $indenter_xml = charger_fonction('indenter', 'xml');
+
+        return $indenter_xml($page, $apply);
+    }
+
+    $xml_parser = xml_parser_create($charset);
+
+    xml_set_element_handler(
+        $xml_parser,
+        [$phraseur, 'debutElement'],
+        [$phraseur, 'finElement']
+    );
+
+    xml_set_character_data_handler(
+        $xml_parser,
+        [$phraseur, 'textElement']
+    );
+
+    xml_set_processing_instruction_handler(
+        $xml_parser,
+        [$phraseur, 'piElement']
+    );
+
+    xml_set_default_handler(
+        $xml_parser,
+        [$phraseur, 'defaultElement']
+    );
+
+    xml_parser_set_option($xml_parser, XML_OPTION_CASE_FOLDING, false);
+
+    $phraseur->sax = $xml_parser;
+    if (isset($entete)) {
+        $phraseur->entete = $entete;
+    }
+    $phraseur->page = $page;
+    $phraseur->dtc = $dtc;
+    $phraseur->phraserTout($xml_parser, $page);
+    xml_parser_free($xml_parser);
+    $phraseur->sax = '';
+
+    return $phraseur;
 }
 
 // SAX ne dit pas si une Entite est dans un attribut ou non.
@@ -250,24 +250,24 @@ 
 // sinon on se rabat sur ce qu'en connait SPIP en standard.
 
 function sax_bug($data, $dtc, $charset = null) {
-	if (is_null($charset)) {
-		$charset = $GLOBALS['meta']['charset'];
-	}
-
-	if ($dtc) {
-		$trans = [];
-
-		foreach ($dtc->entites as $k => $v) {
-			if (!strpos(' amp lt gt quot ', (string) $k)) {
-				$trans["&$k;"] = $v;
-			}
-		}
-		$data = strtr($data, $trans);
-	} else {
-		$data = html2unicode($data, true);
-	}
-
-	return unicode2charset($data, $charset);
+    if (is_null($charset)) {
+        $charset = $GLOBALS['meta']['charset'];
+    }
+
+    if ($dtc) {
+        $trans = [];
+
+        foreach ($dtc->entites as $k => $v) {
+            if (!strpos(' amp lt gt quot ', (string) $k)) {
+                $trans["&$k;"] = $v;
+            }
+        }
+        $data = strtr($data, $trans);
+    } else {
+        $data = html2unicode($data, true);
+    }
+
+    return unicode2charset($data, $charset);
 }
 
 // Retirer < ? xml... ? > et autre PI, ainsi que les commentaires en debut
@@ -277,52 +277,52 @@ 
 // les autres formats RSS n'ont pas de DTD,
 // mais un XML Schema que SPIP ne fait pas encore lire.
 function analyser_doctype($data) {
-	if (!preg_match(_REGEXP_DOCTYPE, $data, $page)) {
-		if (preg_match(_REGEXP_XML, $data, $page)) {
-			[, $entete, $topelement] = $page;
-			if ($topelement == 'rss') {
-				return [
-					$entete,
-					'PUBLIC',
-					_DOCTYPE_RSS,
-					'rss-0.91.dtd'
-				];
-			} else {
-				$dtd = $topelement . '.dtd';
-				$f = find_in_path($dtd);
-				if (file_exists($f)) {
-					return [$entete, 'SYSTEM', $f, $dtd];
-				}
-			}
-		}
-		spip_log('Dtd pas vu pour ' . substr($data, 0, 100));
-
-		return [];
-	}
-	[$entete, , $topelement, $avail, $suite] = $page;
-
-	if (!preg_match('/^"([^"]*)"\s*(.*)$/', $suite, $r)) {
-		if (!preg_match("/^'([^']*)'\s*(.*)$/", $suite, $r)) {
-			return [];
-		}
-	}
-	[, $rotlvl, $suite] = $r;
-
-	if (!$suite) {
-		if ($avail != 'SYSTEM') {
-			return [];
-		}
-		$grammaire = $rotlvl;
-		$rotlvl = '';
-	} else {
-		if (!preg_match('/^"([^"]*)"\s*$/', $suite, $r)) {
-			if (!preg_match("/^'([^']*)'\s*$/", $suite, $r)) {
-				return [];
-			}
-		}
-
-		$grammaire = $r[1];
-	}
-
-	return [$entete, $avail, $grammaire, $rotlvl];
+    if (!preg_match(_REGEXP_DOCTYPE, $data, $page)) {
+        if (preg_match(_REGEXP_XML, $data, $page)) {
+            [, $entete, $topelement] = $page;
+            if ($topelement == 'rss') {
+                return [
+                    $entete,
+                    'PUBLIC',
+                    _DOCTYPE_RSS,
+                    'rss-0.91.dtd'
+                ];
+            } else {
+                $dtd = $topelement . '.dtd';
+                $f = find_in_path($dtd);
+                if (file_exists($f)) {
+                    return [$entete, 'SYSTEM', $f, $dtd];
+                }
+            }
+        }
+        spip_log('Dtd pas vu pour ' . substr($data, 0, 100));
+
+        return [];
+    }
+    [$entete, , $topelement, $avail, $suite] = $page;
+
+    if (!preg_match('/^"([^"]*)"\s*(.*)$/', $suite, $r)) {
+        if (!preg_match("/^'([^']*)'\s*(.*)$/", $suite, $r)) {
+            return [];
+        }
+    }
+    [, $rotlvl, $suite] = $r;
+
+    if (!$suite) {
+        if ($avail != 'SYSTEM') {
+            return [];
+        }
+        $grammaire = $rotlvl;
+        $rotlvl = '';
+    } else {
+        if (!preg_match('/^"([^"]*)"\s*$/', $suite, $r)) {
+            if (!preg_match("/^'([^']*)'\s*$/", $suite, $r)) {
+                return [];
+            }
+        }
+
+        $grammaire = $r[1];
+    }
+
+    return [$entete, $avail, $grammaire, $rotlvl];
 }