72
I Use This!
High Activity

Commits : Listings

Analyzed 28 days ago. based on code collected 28 days ago.
Aug 29, 2021 — Aug 29, 2022
Commit Message Contributor Files Modified Lines Added Lines Removed Code Location Date
remove: Suppression des globales `spip_ecran` et `spip_display` More... about 2 months ago
remove: Reliquats de préférence `display_outils`, retiré en 2014. More... about 2 months ago
doc: changelog
b_b
More... about 2 months ago
fix: prise en charge de l'utf8 pour le filtre `|match`
b_b
More... about 2 months ago
Fix: Cohérence des titres de colonnes de listes More... about 2 months ago
change: le critere `par_odre_liste` retourne maintenant en premier les éléments de la liste. More... about 2 months ago
fix: une fonction is_html_safe() personalisable pour tester si une chaine est safe plutot qu'une simple comparaison de longeur avant/apres par defaut on gere une comparaison un peu plus robuste pour passer le test via HTMLPurifier, mais la fonction est personalisable si on veut utiliser une autre lib
cerdic
as Cerdic
More... about 2 months ago
fix: ne pas envoyer un connect null a traiter_modeles()
cerdic
as Cerdic
More... about 2 months ago
fix: passer connect et env dans les appels de echapper_html_suspect() + un petit peu de refactoring
cerdic
as Cerdic
More... about 2 months ago
feat: la fonction echapper_html_suspect() change de signature pour prendre un tableau d'option en second argument ainsi que connect et env tels que reçus par propre() ou typo() - on assure une compatibilité avec l'ancienne signature d'appel pour ne pas casser du code appelant ou une personalisation de la fonction - le tableau d'option permet de plus de passer - wrap_suspect pour baliser le code suspect avec un markup a l'aide de la fonction wrap, ce qui permet d'adapter le rendu au cas par cas, - texte_source_affiche qui sera le texte affiche apres mise en securite si le texte qu'on examinait parait suspect - dans l'espace prive, la fonction continue a echapper le html suspect, mais avec plus de discernement : elle ne trig plus sur les modeles qu'on masque via modeles_echapper_raccourcis() et elle commence par echapper tout les tricks js/xss connus via echappe_js(). Si malgre cela safehtml() semble y trouver a redire, on echappe tous les tags html dans l'affichage pour avoir quelque chose de plus lisible et mieux distinguer html du texte - dans l'espace public, la fonction applique un safehtml() sur le texte sans ses modeles puisqu'on est la uniquement dans le cas parano de la globale filtrer_javascript=-1
cerdic
as Cerdic
More... about 2 months ago
feat: la fonction echappe_html() s'enrichit d'un argument callback_options qui sera transmis aux callback d'echappement eventuelle + si callback_options contient une entree secure_prefix alors on cherche preferentiellement une callback d'echappement prefixee par ce prefixe, et sinon on se rabat sur la callback sans ce prefixe (Le secure_prefix peut se cumuler avec l'argument deja existant callback_prefix)
cerdic
as Cerdic
More... about 2 months ago
feat: un jeu de fonction modeles_echapper_raccourcis() et modele_retablir_raccourcis_echappes() pour echapper les modeles sous forme de texte neutre qui ne sera pas considere comme dangereux par un purifier html puis les retablir
cerdic
as Cerdic
More... about 2 months ago
feat: prise en charge de l'option collecter_liens=false sur la fonction modeles_collecter() et optimisation
cerdic
as Cerdic
More... about 2 months ago
chores: refactorer la fonction traiter_modele en separant la detection/collecte d'une part dans une fonction modeles_collecter() du traitement d'autre part
cerdic
as Cerdic
More... about 2 months ago
chores: PHPDoc
cerdic
as Cerdic
More... about 2 months ago
chores: deplacer le code specifique au traitement des modeles dans inc/modeles pour eviter le fork par le plugin textwheel
cerdic
as Cerdic
More... about 2 months ago
chores: synchronisation du code avec celui de textwheel car toute la partie traiter_modele() est forkee sans raison
cerdic
as Cerdic
More... about 2 months ago
fix: collecter correctement les arguments des formulaires insérés dans un modèle + généralisation du traitement des balise dynamiques dans un modèle
cerdic
as Cerdic
More... 2 months ago
docs(changelog): Enlever les entrées reportées en 4.1.5 More... 2 months ago
docs(changelog): Enlevé les entrées reportées en 4.1.3 More... 2 months ago
fix: Fatale sur autoriser quand le qui est un id auteur inexistant
cerdic
as Cerdic
More... 2 months ago
style: Coding Standard (phpcbf) More... 2 months ago
fix: Échapper les noms de fichier quand on génère une balise img à l'aide du filtre `|balise_img`
cerdic
as Cerdic
More... 2 months ago
fix: mise a jour de l'écran de sécurité
cerdic
as Cerdic
More... 3 months ago
fix: l'elevation de statut d'un auteur ou le changement de son mot de passe ou email ne peuvent pas se faire via une XMLHttpRequest pour eviter toute manipulation malicieuse d'un auteur via une XSS
cerdic
as Cerdic
More... 3 months ago
fix: envoyer un CSP sur tout l'espace prive pour bloquer l'affichage en iframe et empecher une eventuelle XSS de manipuler des pages dans une iframe
cerdic
as Cerdic
More... 3 months ago
fix: #HTTP_HEADER{} avec quote dans la valeur du header provoquait l'envoi d'un quote echappe, ce qui n'est pas le resultat attendu
cerdic
as Cerdic
More... 3 months ago
fix: refuser_traiter_formulaire_ajax() ne fonctionnait pas quand un form contenait un element avec un name ou id 'submit' + ajouter un feedback visuel en cas de resubmit (on secoue un peu le formulaire)
cerdic
as Cerdic
More... 3 months ago
fix: fallback de image_reduire plus robuste quand on ne sait pas manipuler le format de l'image source
cerdic
as Cerdic
More... 3 months ago
doc: typos de changelog
b_b
More... 3 months ago