PageRenderTime 25ms CodeModel.GetById 18ms RepoModel.GetById 0ms app.codeStats 0ms

/ecrire/inc/admin.php

https://bitbucket.org/re_al_/real.test.spip
PHP | 299 lines | 129 code | 25 blank | 145 comment | 26 complexity | 63e4ed0d22c9364550014624dfbe0614 MD5 | raw file
Possible License(s): LGPL-2.1, MIT 
    

  1. <?php
    2. 

  2. 

  3. /***************************************************************************\
    4. 

  4.  *  SPIP, Systeme de publication pour l'internet                           *
    5. 

  5.  *                                                                         *
    6. 

  6.  *  Copyright (c) 2001-2017                                                *
    7. 

  7.  *  Arnaud Martin, Antoine Pitrou, Philippe Riviere, Emmanuel Saint-James  *
    8. 

  8.  *                                                                         *
    9. 

  9.  *  Ce programme est un logiciel libre distribue sous licence GNU/GPL.     *
    10. 

  10.  *  Pour plus de details voir le fichier COPYING.txt ou l'aide en ligne.   *
    11. 

  11. \***************************************************************************/
    12. 

  12. 

  13. /**
    14. 

  14.  * Gestion d'administration d'un SPIP
    15. 

  15.  *
    16. 

  16.  * @param SPIP\Core\Admin
    17. 

  17.  **/
    18. 

  18. 

  19. if (!defined('_ECRIRE_INC_VERSION')) {
    20. 

  20. 	return;
    21. 

  21. }
    22. 

  22. 

  23. /**
    24. 

  24.  * Teste qu'un utilisateur a des droits sur les fichiers du site et
    25. 

  25.  * exécute l'action (en base) demandée si c'est le cas.
    26. 

  26.  *
    27. 

  27.  * Demande / vérifie le droit de création de répertoire par le demandeur;
    28. 

  28.  * Mémorise dans les meta que ce script est en cours d'exécution.
    29. 

  29.  * Si elle y est déjà c'est qu'il y a eu suspension du script, on reprend.
    30. 

  30.  *
    31. 

  31.  * @uses debut_admin()
    32. 

  32.  * @uses admin_verifie_session()
    33. 

  33.  * @uses fin_admin()
    34. 

  34.  *
    35. 

  35.  * @param string $script
    36. 

  36.  *     Script d'action (en base) à exécuter si on a des droits d'accès aux fichiers
    37. 

  37.  * @param string $titre
    38. 

  38.  *     Titre de l'action demandée
    39. 

  39.  * @param string $comment
    40. 

  40.  *     Commentaire supplémentaire
    41. 

  41.  * @param bool $anonymous
    42. 

  42.  *     ?
    43. 

  43.  * @return string
    44. 

  44.  *     Code HTML de la page (pour vérifier les droits),
    45. 

  45.  *     sinon code HTML de la page après le traitement effectué.
    46. 

  46.  **/
    47. 

  47. function inc_admin_dist($script, $titre, $comment = '', $anonymous = false) {
    48. 

  48. 	$reprise = true;
    49. 

  49. 	if (!isset($GLOBALS['meta'][$script])
    50. 

  50. 		or !isset($GLOBALS['meta']['admin'])
    51. 

  51. 	) {
    52. 

  52. 		$reprise = false;
    53. 

  53. 		$res = debut_admin($script, $titre, $comment);
    54. 

  54. 		if ($res) {
    55. 

  55. 			return $res;
    56. 

  56. 		}
    57. 

  57. 		spip_log("meta: $script " . join(',', $_POST));
    58. 

  58. 		ecrire_meta($script, serialize($_POST));
    59. 

  59. 	}
    60. 

  60. 

  61. 	$res = admin_verifie_session($script, $anonymous);
    62. 

  62. 	if ($res) {
    63. 

  63. 		return $res;
    64. 

  64. 	}
    65. 

  65. 	$base = charger_fonction($script, 'base');
    66. 

  66. 	$base($titre, $reprise);
    67. 

  67. 	fin_admin($script);
    68. 

  68. 

  69. 	return '';
    70. 

  70. }
    71. 

  71. 

  72. /**
    73. 

  73.  * Gestion dans la meta "admin" du script d'administation demandé,
    74. 

  74.  * pour éviter des exécutions en parallèle, notamment après Time-Out.
    75. 

  75.  *
    76. 

  76.  * Cette meta contient le nom du script et, à un hachage près, du demandeur.
    77. 

  77.  * Le code de ecrire/index.php dévie toute demande d'exécution d'un script
    78. 

  78.  * vers le script d'administration indiqué par cette meta si elle est là.
    79. 

  79.  *
    80. 

  80.  * Au niveau de la fonction inc_admin, on controle la meta 'admin'.
    81. 

  81.  *
    82. 

  82.  * - Si la meta n'est pas là, c'est le début on la crée.
    83. 

  83.  * - Sinon, si le hachage actuel est le même que celui en base,
    84. 

  84.  *   c'est une reprise, on continue.
    85. 

  85.  * - Sinon, si le hachage diffère à cause du connect, c'est une arrivée
    86. 

  86.  *   inoppotune, on refuse sa connexion.
    87. 

  87.  * - Enfin, si hachage diffère pour une autre raison, c'est que l'operation
    88. 

  88.  *   se passe mal, on la stoppe
    89. 

  89.  *
    90. 

  90.  * @uses fichier_admin()
    91. 

  91.  *
    92. 

  92.  * @param string $script
    93. 

  93.  *     Script d'action (en base)
    94. 

  94.  * @param bool $anonymous
    95. 

  95.  *     ?
    96. 

  96.  * @return string
    97. 

  97.  *     Code HTML si message d'erreur, '' sinon;
    98. 

  98.  */
    99. 

  99. function admin_verifie_session($script, $anonymous = false) {
    100. 

  100. 	include_spip('base/abstract_sql');
    101. 

  101. 	$pref = sprintf('_%d_', $GLOBALS['visiteur_session']['id_auteur']);
    102. 

  102. 	$signal = fichier_admin($script, "$script$pref");
    103. 

  103. 	$valeur = sql_getfetsel('valeur', 'spip_meta', "nom='admin'");
    104. 

  104. 	if ($valeur === null) {
    105. 

  105. 		ecrire_meta('admin', $signal, 'non');
    106. 

  106. 	} else {
    107. 

  107. 		if (!$anonymous and ($valeur != $signal)) {
    108. 

  108. 			if (!preg_match('/^(.*)_(\d+)_/', $GLOBALS['meta']['admin'], $l)
    109. 

  109. 				or intval($l[2]) != $GLOBALS['visiteur_session']['id_auteur']
    110. 

  110. 			) {
    111. 

  111. 				include_spip('inc/minipres');
    112. 

  112. 				spip_log("refus de lancer $script, priorite a $valeur");
    113. 

  113. 

  114. 				return minipres(_T('info_travaux_texte'), '', array('status' => 503));
    115. 

  115. 			}
    116. 

  116. 		}
    117. 

  117. 	}
    118. 

  118. 	$journal = 'spip';
    119. 

  119. 	if (autoriser('configurer')) {
    120. 

  120. 		// c'est une action webmestre, soit par ftp soit par statut webmestre
    121. 

  121. 		$journal = 'webmestre';
    122. 

  122. 	}
    123. 

  123. 	// on pourrait statuer automatiquement les webmestres a l'init d'une action auth par ftp ... ?
    124. 

  124. 

  125. 	spip_log("admin $pref" . ($valeur ? ' (reprise)' : ' (init)'), $journal);
    126. 

  126. 

  127. 	return '';
    128. 

  128. }
    129. 

  129. 

  130. /**
    131. 

  131.  * Retourne l'emplacement du répertoire où sera testé l'accès utilisateur
    132. 

  132.  *
    133. 

  133.  * Dans le répertoire temporaire si on est admin, sinon dans le répertoire
    134. 

  134.  * de transfert des admins restreints
    135. 

  135.  *
    136. 

  136.  * @return string
    137. 

  137.  *     Chemin du répertoire.
    138. 

  138.  **/
    139. 

  139. function dir_admin() {
    140. 

  140. 	if (autoriser('configurer')) {
    141. 

  141. 		return _DIR_TMP;
    142. 

  142. 	} else {
    143. 

  143. 		return _DIR_TRANSFERT . $GLOBALS['visiteur_session']['login'] . '/';
    144. 

  144. 	}
    145. 

  145. }
    146. 

  146. 

  147. /**
    148. 

  148.  * Retourne le nom d'un fichier de teste d'authentification par accès
    149. 

  149.  * aux fichiers
    150. 

  150.  *
    151. 

  151.  * Le nom calculé est un hash basé sur l’heure, l’action et l’auteur.
    152. 

  152.  *
    153. 

  153.  * @param string $action
    154. 

  154.  *     Nom du script d'action (en base)
    155. 

  155.  * @param string $pref
    156. 

  156.  *     Préfixe au nom du fichier calculé
    157. 

  157.  * @return string
    158. 

  158.  *     Nom du fichier
    159. 

  159.  **/
    160. 

  160. function fichier_admin($action, $pref = 'admin_') {
    161. 

  161. 	return $pref .
    162. 

  162. 	substr(md5($action . (time() & ~2047) . $GLOBALS['visiteur_session']['login']), 0, 10);
    163. 

  163. }
    164. 

  164. 

  165. /**
    166. 

  166.  * Demande la création d'un répertoire (pour tester l'accès de l'utilisateur)
    167. 

  167.  * et sort ou quitte sans rien faire si le répertoire est déjà là.
    168. 

  168.  *
    169. 

  169.  * Si l'on est webmestre, la plupart des actions n'ont pas besoin
    170. 

  170.  * de tester la création du répertoire (toutes sauf repair ou delete_all).
    171. 

  171.  * On considère qu'un webmestre a déjà du prouver ses droits sur les fichiers.
    172. 

  172.  * Dans ce cas, on quitte sans rien faire également.
    173. 

  173.  *
    174. 

  174.  * @uses dir_admin()
    175. 

  175.  * @uses fichier_admin()
    176. 

  176.  *
    177. 

  177.  * @param string $script
    178. 

  178.  *     Script d'action (en base) à exécuter ensuite
    179. 

  179.  * @param string $action
    180. 

  180.  *     Titre de l'action demandée
    181. 

  181.  * @param string $corps
    182. 

  182.  *     Commentaire supplémentaire
    183. 

  183.  * @return string
    184. 

  184.  *     Code HTML de la page (pour vérifier les droits),
    185. 

  185.  *     sinon chaîne vide si déjà fait.
    186. 

  186.  **/
    187. 

  187. function debut_admin($script, $action = '', $corps = '') {
    188. 

  188. 	if ((!$action) || !(autoriser('webmestre') or autoriser('chargerftp'))) {
    189. 

  189. 		include_spip('inc/minipres');
    190. 

  190. 

  191. 		return minipres();
    192. 

  192. 	} else {
    193. 

  193. 		$dir = dir_admin();
    194. 

  194. 		$signal = fichier_admin($script);
    195. 

  195. 		if (@file_exists($dir . $signal)) {
    196. 

  196. 			spip_log("Action admin: $action");
    197. 

  197. 

  198. 			return '';
    199. 

  199. 		}
    200. 

  200. 		include_spip('inc/minipres');
    201. 

  201. 

  202. 		// Si on est un super-admin, un bouton de validation suffit
    203. 

  203. 		// sauf dans les cas destroy
    204. 

  204. 		if ((autoriser('webmestre') or $script === 'repair')
    205. 

  205. 			and $script != 'delete_all'
    206. 

  206. 		) {
    207. 

  207. 			if (_request('validation_admin') == $signal) {
    208. 

  208. 				spip_log("Action super-admin: $action");
    209. 

  209. 

  210. 				return '';
    211. 

  211. 			}
    212. 

  212. 			$corps .= '<input type="hidden" name="validation_admin" value="' . $signal . '" />';
    213. 

  213. 			$suivant = _T('bouton_valider');
    214. 

  214. 			$js = '';
    215. 

  215. 		} else {
    216. 

  216. 			// cet appel permet d'assurer un copier-coller du nom du repertoire a creer dans tmp (esj)
    217. 

  217. 			// l'insertion du script a cet endroit n'est pas xhtml licite
    218. 

  218. 			// mais evite de l'embarquer dans toutes les pages minipres
    219. 

  219. 			$corps .= http_script('', 'spip_barre.js');
    220. 

  220. 

  221. 			$corps .= '<fieldset><legend>'
    222. 

  222. 				. _T('info_authentification_ftp')
    223. 

  223. 				. aider('ftp_auth')
    224. 

  224. 				. "</legend>\n<label for='fichier'>"
    225. 

  225. 				. _T('info_creer_repertoire')
    226. 

  226. 				. "</label>\n"
    227. 

  227. 				. "<span id='signal' class='formo'>" . $signal . '</span>'
    228. 

  228. 				. "<input type='hidden' id='fichier' name='fichier' value='"
    229. 

  229. 				. $signal
    230. 

  230. 				. "' />"
    231. 

  231. 				. _T('info_creer_repertoire_2', array('repertoire' => joli_repertoire($dir)))
    232. 

  232. 				. '</fieldset>';
    233. 

  233. 

  234. 			$suivant = _T('bouton_recharger_page');
    235. 

  235. 

  236. 			// code volontairement tordu:
    237. 

  237. 			// provoquer la copie dans le presse papier du nom du repertoire
    238. 

  238. 			// en remettant a vide le champ pour que ca marche aussi en cas
    239. 

  239. 			// de JavaScript inactif.
    240. 

  240. 			$js = " onload='var range=document.createRange(); var signal = document.getElementById(\"signal\"); var userSelection = window.getSelection(); range.setStart(signal,0); range.setEnd(signal,1); userSelection.addRange(range);'";
    241. 

  241. 		}
    242. 

  242. 

  243. 		// admin/xxx correspond
    244. 

  244. 		// a exec/base_xxx de preference
    245. 

  245. 		// et exec/xxx sinon (compat)
    246. 

  246. 		if (tester_url_ecrire("base_$script")) {
    247. 

  247. 			$script = "base_$script";
    248. 

  248. 		}
    249. 

  249. 		$form = copy_request($script, $corps, $suivant);
    250. 

  250. 		$info_action = _T('info_action', array('action' => "$action"));
    251. 

  251. 

  252. 		return minipres($info_action, $form, $js);
    253. 

  253. 	}
    254. 

  254. }
    255. 

  255. 

  256. /**
    257. 

  257.  * Clôture la phase d'administration en supprimant le répertoire
    258. 

  258.  * testant l'accès au fichiers ainsi que les metas d'exécution
    259. 

  259.  *
    260. 

  260.  * @param string $action
    261. 

  261.  *     Nom de l'action (en base) qui a été exécutée
    262. 

  262.  **/
    263. 

  263. function fin_admin($action) {
    264. 

  264. 	$signal = dir_admin() . fichier_admin($action);
    265. 

  265. 	spip_unlink($signal);
    266. 

  266. 	if ($action != 'delete_all') {
    267. 

  267. 		effacer_meta($action);
    268. 

  268. 		effacer_meta('admin');
    269. 

  269. 		spip_log("efface les meta admin et $action ");
    270. 

  270. 	}
    271. 

  271. }
    272. 

  272. 

  273. /**
    274. 

  274.  * Génère un formulaire avec les données postées
    275. 

  275.  *
    276. 

  276.  * Chaque donnée est mise en input hidden pour
    277. 

  277.  * les soumettre avec la validation du formulaire.
    278. 

  278.  *
    279. 

  279.  * @param string $script
    280. 

  280.  *     Nom du script (pour l'espace privé) de destination
    281. 

  281.  * @param string $suite
    282. 

  282.  *     Corps du formulaire
    283. 

  283.  * @param string $submit
    284. 

  284.  *     Texte du bouton de validation
    285. 

  285.  * @return string
    286. 

  286.  *     Code HTML du formulaire
    287. 

  287.  **/
    288. 

  288. function copy_request($script, $suite, $submit = '') {
    289. 

  289. 	include_spip('inc/filtres');
    290. 

  290. 	foreach (array_merge($_POST, $_GET) as $n => $c) {
    291. 

  291. 		if (!in_array($n, array('fichier', 'exec', 'validation_admin')) and !is_array($c)) {
    292. 

  292. 			$suite .= "\n<input type='hidden' name='" . spip_htmlspecialchars($n) . "' value='" .
    293. 

  293. 				entites_html($c) .
    294. 

  294. 				"'  />";
    295. 

  295. 		}
    296. 

  296. 	}
    297. 

  297. 

  298. 	return generer_form_ecrire($script, $suite, '', $submit);
    299. 

  299. }
    300. 

  300.