2.0.7 -> 2.0.8 (11 mai 2009) Revision: 13974 generer_action_auteur necessite au moins 2 arguments (eric) Revision: 13972 améliorations du débusqueur (report de [13917], [13941] et[13944] ) Revision: 13971 ne pas confondre le parent de l'id que l'on demande a #EXPOSE avec le parent du principal qui lui est extrait du contexte de reference. Le premier est passe en parametre mais ne sert en fait a rien, le second doit du coup etre trouve par une requete sql. La confusion entrainait des trous dans la liste des objets a exposer si au premier calcul le parent n'etait pas le meme (tetue) Revision: 13970 mise à jour de jquery.form.js pour éviter un bug sur IE8 et les formulaires ajax. ([13955], [13966] et [13967]) Revision: 13963 l'ecriture du tag en sortie des filtres images echouait si l'url initiale contenait des &. Un patch qui ne restera pas dans les annales mais fonctionne dans le cas des documents proteges Revision: 13962 copie_locale renvoie toujours un chemin relatif a la racine, pas au repertoire courant (cas des documents proteges) Revision: 13961 les filtres image appliques sur les images protegees par spip.php?action=acceder_document provoquent un appel a taille_image qui commet l'erreur de tronquer la chaine de get avant de faire copie_locale, et d'essayer vainement de copier spip.php en local. Si par malheur, la page d'accueil servie par spip.php dans ce cas contient une ou plusieurs images protegees retraitees, la boucle et bouclee, et le serveur par terre. Probablement donc, une cause serieuse de saturation serveur pour les utilisateurs du plugin acces_restreint Revision: 13959 Validité XHTML Un petit complément à [13957] pour parfaire la validité (Eric) Revision: 13954 Import des sauvegardes partielles: si le document est déjà distant, ne pas ajouter le _DIR_IMG local, ça ne rime à rien. Par ailleurs, pas d'état d'âme avec les vieilles tables: on ne peut insérer que des sauvegardes partielles de même constitution que la base d'accueil. Revision: 13952 report de [13950] date en nepalais Revision: 13951 correction du passage de langue dans les formulaires CVT : un formulaire dans un article différent de la langue du site () n'avait pas les bonnes traductions des fonctions _T() dans les fonctions verifier() et traiter(). (cerdic) Revision: 13946 Correction de [13939]: se protéger du bloc de compatibilité des url_propres que le nouveau form_hidden interprète de travers: autant ne pas passer par generer_url_entite si on a déjà le paramètre page, typiquement dans le cas du formulaire de recherche std (Eric). Revision: 13943 Correction de l'erreur de syntaxe PHP du code compilé lorsque le critère {{{par}}} contient un appel de fonction SQL. Un peu à l'arrach', mais ça permet déjà de retrouver la compatibilité avec ce que savait faire la 1.9 (Mathieu). Test {{{}}} Revision: 13942 Prendre en compte un nom et un mot de passe dans une URL de page distante à récupérer (Stéphane) Revision: 13940 Dans le squelette des pétitions, il faut afficher le moteur de recherche s'il vient d'y avoir une recherche, le nombre de signatures est faussement réduit dans ce cas. Et en profiter pour faire du XHTML strict. Revision: 13939 Compatibilité du filtre {{{form_hidden}}} avec les URL symboliques: il faut qu'il demande à generer_url_entite de lui fabriquer le contexte comme pour l'assemblage de la page. La modif de urls/page.php n'était finalement pas indispensable, mais éviter de resynthètiser les 3 RegExp à chaque appel ne fait pas de mal. Revision: 13938 le pipeline "styliser" n'était pas déclaré dans la stable ! Revision: 13936 permettre que le titre d'un document ait une extension differente de celle du fichier d'origine pour que le telechargement se fasse sous un nom&type different de celui sous lequel le fichier est heberge sur le serveur (ex envoyer en .php un fichier stocke en .txt pour raison de securite). Revision: 13931 etre un peu plus strict dans la verification du titre du document avant de s'en servir comme nom de fichier : - il faut qu'il ait la bonne extension - il faut qu'il ressemble a un nom de fichier (en particulier compose de caracteres licites) ( [13933] aussi) Revision: 13930 retablir un content-type indument supprime par [13924] Revision: 13928 double echappement provoquait la mort definitive des sites suspendus : ils devenaient {{{'su}}} au lieu de {{{sus}}} Revision: 13927 Ce n'est pas parce que certains systèmes d'exploitation que je ne nommerai pas pataugent avec certains noms de fichiers qu'il faut considérer [11243] comme une {{fausse bonne idée}} comme le dit [13760]. Je filtre le cas du titre de document n'ayant pas d'extension qui ne doit en effet pas être utilisé comme nom de fichier du {{{Content-Disposition}}} (et encore, {{{Makefile}}} est notoirement recevable), mais autrement je restaure le comportement d'avant qui est une fausse {{fausse bonne idée}}}, autrement dit une vraie bonné idée. Par contrecoup, report du renforcement de sécurité su secret du site [13866] dans la branche 2.0. Revision: 13924 seuls les types de document qui ne peuvent etre inclus doivent etre envoyes en "Content-Disposition : attachment". Les clip flash et autre types embed n'etais pas visualisable lorsque la protection des documents etait activee Revision: 13912 #1744 memoriser le bouton sumblit clique ou le x/y du bouton image clique quand on post un formulaire en ajax pour pouvoir les poster si jamais on resubmit en post classique suite a une demande du serveur refuser_traiter_formulaire_ajax() Revision: 13911 enlever la securite dans le message_ok au retour des formulaires, car sinon il n'est pas possible de faire la redirection apres un post ajax dans l'espace prive Revision: 13909 permettre au filtre |match de retourner la valeur 0 (zero) si elle est explicitement recherchee Revision: 13908 #1732 : bug a la verification lors de la creation d'un auteur ( plus [13910]) Revision: 13905 #1687 : ne pas perturber le filtre unique avec #INTRODUCTION Revision: 13901 corriger la recuperation d'arguments passes en url et le faux appel de syndic.html Revision: 13898 Oups. Faux départ de AS U ! (mea culpa) Revision: 13897 Les URLs ne se recalculaient pas dans un cas précis : changement de la casse sur une table insensible à la casse. Pour éviter cela, on réécrit aussi, en plus de la date de mise à jour de l'url son titre. Si la casse change, il sera ainsi pris en compte. Correction aussi d'un bug U.type inexistant sur les url arborescentes... Revision: 13893 [12134] avait casse la relance des signatures en recalculant un hash au lieu de renvoyer l'existant Revision: 13892 amelioration de la strategie de purge : - si le cache est trop gros on redemande la main - mais si il n'y a plus assez de vieux fichiers a purger, on la rend Ainsi, meme avec un reglage trop bas du quota, le cache se stabilisera autour du volume necessaire pour stocker une heure de traffic Revision: 13889 ne pas laisser le cache deborder lorsque les robots (ou les internautes) sont tres actifs - inc/invalideur renvoie le ratio taille cache/quota - le genie redemande la main lorsque le ratio est trop grand, sans attendre le prochain coup - les operations de vidange sont logees dans invalideur.log avec les details permettant de suivre les operations 2.0.6 -> 2.0.7 (13 avril 2009) Revision: 13887 Le datage des urls reecrites echouait pour cause de requette eronnee. Le suspens continue : y aura-t-il une version stable 2.0.x avec des urls reecrites non bugguees ? Revision: 13882 patch de vincent ramos pour #1703 + report des trucs modernes de inc/rechercher dans la branche 2.0 Revision: 13881 pas de . en dehors de celui separant l'extension, sinon il est possible d'injecter du php dans un toto.php.txt, qu'apache peut vouloir traiter comme un .php normal (attaque dite 'de vlad' ) Revision: 13880 session_set() lorsqu'on renseigne son email (suite de [13878]) Revision: 13879 report [13878] afficher l'email de l'auteur connecte si on le connait (session) Revision: 13877 report et nettoyage de ecrire_fichier_securise() Revision: 13876 report de ecrire_fichier_securise [13867] pour mieux masquer le contenu de tmp/meta_cache.txt(.php) en cas d'ouverture inopinee de tmp/ aux regards curieux Revision: 13873 retour de la pagination dans le controle des petitions (bug introduit en [13320]) Revision: 13872 Report de [13868] corrigeant l'aléa ancien. Revision: 13870 revert de [13846] qui casse le fonctionnement de la pagination AJAX Revision: 13865 il faut securiser les appels à propre et typo hors squelette (typiquement code php de l'espace privé), mais dans les squelettes, la sécurisation est intégrée, et il ne faut pas en rajouter. On utilise donc la presence du parametre connect pour distinguer les appels des squelettes qui le comportent tous, des appels historiques hors squelettes qui ne le mentionnent jamais. Corrolairement, en cas d'appel hors squelette avec un parametre connect, il convient d'appeler en plus interdire_script Revision: 13862 Nouvelle méthode pour l'authentification LDAP, qui devrait résoudre le bug dans certaines config d'Active Directory. Géraud Tardif remarque qu'il est idiot de risquer des bugs avec des champs absents pour trouver le login, puisqu'on l'a déjà. Il vaut donc mieux se rabattre sur lui, mais on modifie les signatures des fonctions auxilaires pour qu'il soit facile de surcharger {{{auth_ldap}}} de sorte qu'on réclame des champs supplémentaires et qu'on en tienne compte. Revision: 13859 Ignorer les lignes vides dans les CSV lorsque transformés en table HTML à la volée (Cyril). Revision: 13858 Ne pas utiliser intval quand on fabrique une requête SQL, celui-ci ayant des grands entiers en standard, contrairement à PHP (Camille). Vu son logo on aurait dû se méfier: un PHP, ça tronque énormément. Revision: 13857 Les distributions RedHat, Fedora et CentOS ont maintenant une installation d'Apache par défaut qui font que le AllowOverride est à None par défaut, avec comme conséquence que les {{{deny from all}}} installés par SPIP ne sont plus effectifs sur ces distributions non modifiées. En conséquence, report immédiat dans la branche stable de [13608], qui n'écrit plus dans tmp la valeur des aleas, qui sont des informations trop sensibles. A signaler à propos des aléas que l'alea_ancien n'est pas pris en compte pour les actions dont l'URL comporte ecrire/, il faut renoncer à ces URLs. Enfin, il faudrait insister dans la doc sur le fait que tmp/ et config/ doivent être interdits à la lecture publique, idéalement en les mettant à l'extérieur du DocumentRoot. Revision: 13856 Bug de puce 'meme-rubrique" des sites references Revision: 13853 un flag manquant pour preciser que l'on est dans l'espace prive Revision: 13852 pas d'exe´cution en public non plus ! Revision: 13850 il est temps de suivre la prévision des oracles proteger l'espace privé, donc... Revision: 13848 eviter le die intempestif "spip_urls AS U insertion sans description" lors de la creation de nouvelles urls ... (bug introduit au detour de http://zone.spip.org/trac/spip/changeset/13838#file22) Revision: 13846 indentation + meilleure verification sr onAjaxLoad(), pour compat crayons++ Revision: 13845 enieme correction des urls ... je vais peut-etre finir par y arriver Revision: 13844 report oublie de [13765] qui reparait les urls arbo avec types renommes Revision: 13843 permettre a la previsu de savoir ou elle se trouve (cf. http://www.spip-blog.net/forum-spip-org-comme-base-de.html ) Revision: 13841 log plus explicite Revision: 13839 erreur sql sur date Revision: 13838 NOW() disparait au profit de la date php (a verifier svp) Revision: 13836 la date d'un article c'est celle du php, pas celle du SQL 2.0.5 -> 2.0.6 (16 mars 2009) Revision: 13834 report http://trac.rezo.net/trac/spip/changeset/13833 ajout d'un index sur spip_documents_liens Revision: 13830 passer l'id_auteur et l'id_article au squelette du forumlaire ecrire_auteur l'id etait calculé mais pas passé, on l'ajoute donc aussi Revision: 13828 report de http://trac.rezo.net/trac/spip/changeset/13827 redirections anciennes urls Revision: 13826 report discret de exec=fond introduit dans http://trac.rezo.net/trac/spip/changeset/13800 afin de pouvoir utiliser un meme plugin en version stable et dev etant un ajout de fonctionnalité, cela ne devrait pas poser de problème... Revision: 13824 report de http://trac.rezo.net/trac/spip/changeset/13822 et http://trac.rezo.net/trac/spip/changeset/13823 -- correction erreur 404 sur les urls de type spip.php Revision: 13820 donner une PRIMARY KEY quand il n'y a rien (VIEW MySQL) Revision: 13818 toujours proteger les file_exists() Revision: 13812 ajout discret du pipeline styliser pour le futur 2.0.6, afin que les plugins comme SPIP Clear puissent s'appuyer dessus sans surcharger le fichier. Revision: 13809 coquille css (pi_r) Revision: 13808 Report de http://trac.rezo.net/trac/spip/changeset/13807 -- ne pas empecher le changement de mode image/document sur les images de rubriques... Revision: 13801 manque de quotes (denisb) Revision: 13798 un lien du type {{{ [->http://www.favicon.cc/?action=icon&file_id=29805] }}} doit se transformer proprement avec un {{{ & }}} Revision: 13797 Report de http://trac.rezo.net/trac/spip/changeset/10796 : #CHAPO doit enlever les redirections, mais pas #CHAPO* qui doit les laisser. Revision: 13795 report de http://trac.rezo.net/trac/spip/changeset/13794 : charger les autorisations au moment du traitement de #FORMULAIRE_EDITER_AUTEUR appellé depuis le public Revision: 13793 Le début des vertèbres n'est pas la vertèbre nommée début [http://archives.rezo.net/spip-dev.mbox/200902.mbox/raw/%3C49A3FF0F.8070102@yahoo.fr%3E/ YannX]. Revision: 13792 Ne pas tenter de réparer l'irréparable quand il faut prendre de la distance. Revision: 13791 Fallait savoir que {{{$x[$y]}}} convertit la chaîne {{{$y}}} en nombre quand elle est interprétable ainsi. PHP, le langage dont vous nous ne découvrirez jamais tous les pièges. Super argument publicitaire. 2.0.4 -> 2.0.5 - report de [13778] : l'installation sur les serveurs mysql avec un sql_mode par defaut etait cassee repare les installations sous easyphp 3.0 par defaut (13788) - closedir(d); avant de l'effacer (13787) - report de [13785] reparer la 404 des urls propres, et le mode urls propres_qs (13786) - report de htaccess (robots.txt, favicon.ico, sitemap.xml), correction des urls selon rfc 1738. references : [13769] et de [13779] a [13783] (13784) - noindex au lieu de none pour site.html (cf. [13773]) ( 13776 ) 2.0.3 -> 2.0.4 - Remettre jQuery 1.2.6 pour ne pas créer de problème de comptabilité. Ceux qui le souhaitent pourront mettre jQuery 1.3.2 dans leur répertoire squelettes dans un fichier : « javascript/jquery.js » (13774) - Enlever tous les arobases des sélecteurs jQuery pour autoriser jQuery 1.3.x(13772) - report de [13755] et [13763] introduit les valuers date_default et date_redac_default dans le contexte quand SPIP ajoute la date d'office / accepter un tableau pour le filtre alterner (13770) - report de [13621]Ajout de jQuery 1.3 ... Attention aux extensions qui utilisent encore [@param=value] dans les sélecteurs jQuery à passer en [param=value] . (13768) - Ajout de image_joindre (13766) - #1691 : une balise etant absurde, il s'agit forcement du nom de la note (13761) - #1711 : annuler [11243] qui etait une fausse bonne idee ; en l'absence d'extension dans le titre, les navigateurs sont perdus (13760) - #1695 produire un aplat quand la production d'image echoue pour la css privee (13759) - #1704 : reduire la taille de la vignette, y compris dans la colonne documents (13758) - la fonctionnalite cachee dans la dist {article sans texte+un document joint} -> affichage du document inline provoquait le masquage de tous les documents joints lorsque le texte etait vide et plusieurs document joint. il faudrait au moins documenter le code pour eviter de reintroduire le bug (13757) - jQuery 1.3.2 http://docs.jquery.com/Release:jQuery_1.3.2 (13756) - Complément sur les urls arbo (13753) - les balises CVT #FORMULAIRE_TRUC implementees par la balise generique #FORMULAIRE_ n'utilisent que le squelette formulaires/truc.html Inutile et trompeur de chercher a la racine le squelettre truc.html, donc (13751) - Bien tester tous les formulaires avant de les declarer inexistants * [13744] [13745] [13746] etaient incomplets on les fussionne (13749) - Complement a [13745] et [13746] * le findpath manquait de precision (13746) - report de [13744] #FORMULAIRE_INEXISTANT (13745) - report de [13741] gestion plus fine des urls (13742) - Amelioration traitement de l'arabe, notamment quand tiret a l'interieur d'un mot. (13739) - On place le contenu du js du login dans un cdata pour être valide ... On encapsule également la fonction jquery en passant... (13734) - report de [13732] bg d'affiche des sites syndiques dans l'espace prive (13733) - report de [13728] urls page (13729) - report de [13725] et [13726] (debug) (13727) - complement a [13720] : les fonctions url_xx($id,$entite) renvoient toujours une url valide donc commencant par ../ si on est dans ecrire/ (c'etait le cas auparavant pour les documents mais pas pour les autres entites) Corrolairement #URL_ARTICLE pointe toujours sur l'article, que le squelette soit evalue dans l'espace public ou prive, et [(#URL_ARTICLE|url_absolue)] est toujours correcte. Ceci est vrai pour toutes les entites (13722) - gerer les notes dans le suivi des forums (13721) - report de [13719] nouvelle API d'URLs (13720) - ne pas surligner dans la page de recherche elle-meme (report de [13717]) (13718) - integration des #NOTES dans les forums (13710) - lorsque generer_url_entite doit generer une url publique depuis l'espace prive, il semble logique de prefixer de _DIR_RACINE pour que l'url soit valide repare le calcul des nouveautes et de [(#URL_ARTICLE|url_absolue)] evalue depuis le prive (13708) - eviter les @include qui masquent les erreurs (13707) - un pas xhtml (13706) - report de [13689] #URL_ARTICLE et consort designent toujours l'url publique de l'objet depuis la racine, meme utilisee dans l'espace prive il faut donc les prefixer de #EVAL{_DIR_RACINE} dans le cas ou l'on affiche cette url dans l'espace prive pour que le lien soit correct (13705) - report de [13696] ne pas coller les paragraphes en previsu des forums (13701) - éviter d'avoir plusieurs id="nobot" sur la même page. Un div englobant le contenu du formulaire des signatures pour éviter des erreurs de validation (13699) - Le double clic du sélecteur d'auteur en Ajax ne fonctionnait pas. (13694) - puce_statut surchargeable (permet en particulier le plugin mots techniques) (13693) - fixer la taille des images pour que ca ne clignote pas (13692) - Complément de 13677 sur la mise à jour de la base lors d'un upgrade (13691) - prise en compte de Accept-Language pour tout le monde (pas seulement les personnes authentifiées) (13690) - Correction d'un bug sur la sauvegarde et la fusion (13661) - Meilleure gestion en cas de plantage de l'installation (13659) - Eviter un warning concernant les URL personnalisées (13654) - correctif version allemande (klaus) (13636) - la syntaxe recuperer_fond($fond,$contexte,array('ajax'=>true)) ne fonctionnait que si le fond etait defini dans le contexte (13615) - Il y a des versions de PHP où les imagegif etc sont absentes, on contrôle (13606) - Il est totalement inutile de compliquer les choses avec des {doublons}... {!id_groupe} enlève déjà le groupe en cours. (13604) - Gérer l'explicitation du nom des tables dans le critère Fusion (13603) - Respecter les 0 dans les urls propres (13602) - Les restaurations de DUMP anciens avec une version 10000 utilisée ne commençaient pas les mises à jour à la version qu'il faut (13598) 2.0.2 -> 2.0.3 - pouvoir tenir compte du hreflang lors de la construction de l'URL par calculer_url via inc_lien_dist (13595) - les entitee > et < etaint changee en < > apres une surligne (13593) - Accepter les - dans le nom des bases SQL (13591) - Bug sur changement d'auteur si le nom de l'auteur était trop court (13590) - Coquille dans les vieilles defs (manque un g pour generer !) (Charly Caulet) (13586) - Retour des recherches de mots associés aux documents (non utilisée dans le core) (13584) - Bug si erreur de frappe #URL_ MOT (espace avant MOT) (13582) - Pour un raccourci "[->25]" la fonction nettoyer_raccourcis_typo renvoie "Array"... (Pat). (13573) - Le numéro du jour manquait sur le libellé du survol conduisant au calendrier du jour. Quant au libellé du mois, il n'emmenait pas sur le calendrier du mois. (13569) - Une fonctionnalité de la 1.9.2 perdue: si id_rubrique est fournie à la création d'une traduction, il faut créer dans cette rubrique, pas ailleurs. (13560) - ne pas ecraser le hash de la boucle avec le critere {recherche} cela empeche tout plugin de l'utiliser (13555) - proteger la fonction recuperer_fond quand on ecrit recuperer_fond($fond,$_GET) dans les plugins meme si il semble que la variable soit protegee en amont dans tous les cas (13551) - Le cryptage du mot de passe avant envoi n'était plus assuré que si le cookie dession était toujours actif. (13544) - Fatal error a la suppression d'un document avec vignette. (13539) - Lorsqu'on pose ou retire les .htaccess des sous-répertoires de IMG, il ne faut pas oublier celui nommé "distant" qui ne figure pas dans la table des types de documents. (13538) - Deux balises A pour LOGO_DOCUMENT, c'est une de trop (Eric). (13536) 2.0.1 -> 2.0.2 - deux bugs au login (13529) - refuser les urls avec le pseudo protocole data (13521) - bonne année (13520) - Unifier la mise en page dans les 3 onglets de gestion des langues (13519) - encore quelques retouches sur l'agenda de l'espace publique (13517) - le champ type de la balise A d'un logo de document était toujours vide (13512) - la boucle DOCUMENTS ne donnait pas les documents attachés aux messages de forums (13511) - accepter les notes nommees <*> <+> <.> et autres caracteres significatifs (13510) - un peeling pour évacuer le point noir. (13508) - amélioration du calcul de popularité (13506) - lien incorrect dans le message à un visiteur venant de s'inscrire (13504) - support du png8 comme format de image_format (l'extension sera bien 'png') (13501) - authentification via LDAP/AD, lire le Samaccountname (13500) - proteger l'$id fournit a calcul_branche_in (13498) 2.0.0 -> 2.0.1 rapport de police (13469 ->13495) - réparation d'un bug sur les urls standard et autres anciennes implémentations (13489) - problème de création du répertoire cache à l'install (13487) - correction mineure sur le calcul des visites (13485) - Compilateur : défaut sur la prise en compte sur le champ statut dans le cas d'une requête sur une table principale (13484) - correction pour IE6/7 sur les formulaires de l'espace privé (13481) - il était impossible de déplacer SPIP dans un sous répertoire (13478 )