fix: sanitiser les paramètres shell dans l'API TTS

[kwizer15]

Description

En relisant core/api/tts.php, j'ai remarqué que les paramètres text, voice, volume et lang (issus de init()) sont injectés directement dans les commandes shell_exec() sans aucun échappement. Un attaquant disposant d'une clé API TTS valide peut exploiter ça pour exécuter des commandes arbitraires sur le serveur.

Exemple concret : un appel avec text=foo" ; rm -rf / ; echo " casse le guillemet de la commande espeak/pico2wave et injecte du code shell.

Corrections apportées

• $voice : protégé par escapeshellarg()
• $text : protégé par escapeshellarg() dans les deux commandes (espeak et pico2wave)
• $filename et $md5.wav : protégés par escapeshellarg() (chemins de fichiers)
• $volume : forcé en floatval() pour garantir une valeur numérique
• $lang : validé par regex (/^[a-zA-Z]{2}(-[a-zA-Z]{2,3})?$/) avec fallback sur fr-FR

Suggested changelog entry

• Sécurité : correction d'une injection de commandes dans l'API TTS (core/api/tts.php)

Related issues/external references

Fixes #

Types of changes

• Bug fix (non-breaking change which fixes)
• New feature (non-breaking change which adds functionality)
• Breaking change (fix or feature that would cause existing functionality to change)
  • This change is only breaking for integrators, not for external standards or end-users.
• Documentation improvement

PR checklist

• I have checked there is no other PR open for the same change.
• I have read the [La ligne directrice pour contribuer à ce projet / Contribution guidelines for this project).
• I grant the project the right to include and distribute the code under the GNU.
• I have added tests to cover my changes.
• I have verified that the code complies with the projects coding standards.
• [Required for new sniffs] I have added MD documentation for the sniff.