spip / SPIP

config/ecran_securite.php

Indentation +336 added lines, -336 removed lines

@@ -15,7 +15,7 @@ 
  * Test utilisateur
  */
 if (isset($_GET['test_ecran_securite']))
-	$ecran_securite_raison = 'test '._ECRAN_SECURITE;
+    $ecran_securite_raison = 'test '._ECRAN_SECURITE;
 
 /*
  * Monitoring
@@ -24,215 +24,215 @@ 
  * le load depasse ECRAN_SECURITE_LOAD)
  */
 if (!defined('_IS_BOT') and isset($_GET['var_isbot'])){
-	define('_IS_BOT', $_GET['var_isbot'] ? true : false);
+    define('_IS_BOT', $_GET['var_isbot'] ? true : false);
 }
 
 /*
  * Détecteur de robot d'indexation
  */
 if (!defined('_IS_BOT')){
-	define('_IS_BOT',
-		isset($_SERVER['HTTP_USER_AGENT'])
-		and preg_match(','
-		. implode ('|', array(
-			// mots generiques
-			'bot',
-			'slurp',
-			'crawler',
-			'crwlr',
-			'java',
-			'monitoring',
-			'spider',
-			'webvac',
-			'yandex',
-			'MSIE 6\.0', // botnet 99,9% du temps
-			// UA plus cibles 
-			'200please',
-			'80legs',
-			'a6-indexer',
-			'aboundex',
-			'accoona',
-			'acrylicapps',
-			'addthis',
-			'adressendeutschland',
-			'alexa',
-			'altavista',
-			'analyticsseo',
-			'antennapod',
-			'arachnys',
-			'archive',
-			'argclrint',
-			'aspseek',
-			'baidu',
-			'begunadvertising',
-			'bing',
-			'bloglines',
-			'buck',
-			'browsershots',
-			'bubing',
-			'butterfly',
-			'changedetection',
-			'charlotte',
-			'chilkat',
-			'china',
-			'coccoc',
-			'crowsnest',
-			'dataminr',
-			'daumoa',
-			'dlvr\.it',
-			'dlweb',
-			'drupal',
-			'ec2linkfinder',
-			'eset\.com',
-			'estyle',
-			'exalead',
-			'ezooms',
-			'facebookexternalhit',
-			'facebookplatform',
-			'fairshare',
-			'feedfetcher',
-			'feedfetcher-google',
-			'feedly',
-			'fetch',
-			'flipboardproxy',
-			'genieo',
-			'google',
-			'go-http-client',
-			'grapeshot',
-			'hatena-useragent',
-			'head',
-			'hosttracker',
-			'hubspot',
-			'ia_archiver',
-			'ichiro',
-			'iltrovatore-setaccio',
-			'immediatenet',
-			'ina',
-			'inoreader',
-			'infegyatlas',
-			'infohelfer',
-			'instapaper',
-			'jabse',
-			'james',
-			'jersey',
-			'kumkie',
-			'linkdex',
-			'linkfluence',
-			'linkwalker',
-			'litefinder',
-			'loadimpactpageanalyzer',
-			'ltx71',
-			'luminate',
-			'lycos',
-			'lycosa',
-			'mediapartners-google',
-			'msai',
-			'myapp',
-			'nativehost',
-			'najdi',
-			'netcraftsurveyagent',
-			'netestate',
-			'netseer',
-			'netnewswire',
-			'newspaper',
-			'newsblur',
-			'nuhk',
-			'nuzzel',
-			'okhttp',
-			'otmedia',
-			'owlin',
-			'owncloud',
-			'panscient',
-			'paper\.li',
-			'parsijoo',
-			'protopage',
-			'plukkie',
-			'proximic',
-			'pubsub',
-			'python',
-			'qirina',
-			'qoshe',
-			'qualidator',
-			'qwantify',
-			'rambler',
-			'readability',
-			'ruby',
-			'sbsearch',
-			'scoop\.it',
-			'scooter',
-			'scoutjet',
-			'scrapy',
-			'scrubby',
-			'scrubbybloglines',
-			'shareaholic',
-			'shopwiki',
-			'simplepie',
-			'sistrix',
-			'sitechecker',
-			'siteexplorer',
-			'snapshot',
-			'sogou',
-			'special_archiver',
-			'speedy',
-			'spinn3r',
-			'spreadtrum',
-			'steeler',
-			'subscriber',
-			'suma',
-			'superdownloads',
-			'svenska-webbsido',
-			'teoma',
-			'the knowledge AI',
-			'thumbshots',
-			'tineye',
-			'traackr',
-			'trendiction',
-			'trendsmap',
-			'tweetedtimes',
-			'tweetmeme',
-			'universalfeedparser',
-			'uaslinkchecker',
-			'undrip',
-			'unwindfetchor',
-			'upday',
-			'vedma',
-			'vkshare',
-			'vm',
-			'wch',
-			'webalta',
-			'webcookies',
-			'webparser',
-			'webthumbnail',
-			'wesee',
-			'wise-guys',
-			'woko',
-			'wordpress',
-			'wotbox',
-			'y!j-bri',
-			'y!j-bro',
-			'y!j-brw',
-			'y!j-bsc',
-			'yahoo',
-			'yahoo!',
-			'yahooysmcm',
-			'ymobactus',
-			'yats',
-			'yeti',
-			'zeerch'
-		)) . ',i',
-		(string)$_SERVER['HTTP_USER_AGENT'])
-	);
+    define('_IS_BOT',
+        isset($_SERVER['HTTP_USER_AGENT'])
+        and preg_match(','
+        . implode ('|', array(
+            // mots generiques
+            'bot',
+            'slurp',
+            'crawler',
+            'crwlr',
+            'java',
+            'monitoring',
+            'spider',
+            'webvac',
+            'yandex',
+            'MSIE 6\.0', // botnet 99,9% du temps
+            // UA plus cibles 
+            '200please',
+            '80legs',
+            'a6-indexer',
+            'aboundex',
+            'accoona',
+            'acrylicapps',
+            'addthis',
+            'adressendeutschland',
+            'alexa',
+            'altavista',
+            'analyticsseo',
+            'antennapod',
+            'arachnys',
+            'archive',
+            'argclrint',
+            'aspseek',
+            'baidu',
+            'begunadvertising',
+            'bing',
+            'bloglines',
+            'buck',
+            'browsershots',
+            'bubing',
+            'butterfly',
+            'changedetection',
+            'charlotte',
+            'chilkat',
+            'china',
+            'coccoc',
+            'crowsnest',
+            'dataminr',
+            'daumoa',
+            'dlvr\.it',
+            'dlweb',
+            'drupal',
+            'ec2linkfinder',
+            'eset\.com',
+            'estyle',
+            'exalead',
+            'ezooms',
+            'facebookexternalhit',
+            'facebookplatform',
+            'fairshare',
+            'feedfetcher',
+            'feedfetcher-google',
+            'feedly',
+            'fetch',
+            'flipboardproxy',
+            'genieo',
+            'google',
+            'go-http-client',
+            'grapeshot',
+            'hatena-useragent',
+            'head',
+            'hosttracker',
+            'hubspot',
+            'ia_archiver',
+            'ichiro',
+            'iltrovatore-setaccio',
+            'immediatenet',
+            'ina',
+            'inoreader',
+            'infegyatlas',
+            'infohelfer',
+            'instapaper',
+            'jabse',
+            'james',
+            'jersey',
+            'kumkie',
+            'linkdex',
+            'linkfluence',
+            'linkwalker',
+            'litefinder',
+            'loadimpactpageanalyzer',
+            'ltx71',
+            'luminate',
+            'lycos',
+            'lycosa',
+            'mediapartners-google',
+            'msai',
+            'myapp',
+            'nativehost',
+            'najdi',
+            'netcraftsurveyagent',
+            'netestate',
+            'netseer',
+            'netnewswire',
+            'newspaper',
+            'newsblur',
+            'nuhk',
+            'nuzzel',
+            'okhttp',
+            'otmedia',
+            'owlin',
+            'owncloud',
+            'panscient',
+            'paper\.li',
+            'parsijoo',
+            'protopage',
+            'plukkie',
+            'proximic',
+            'pubsub',
+            'python',
+            'qirina',
+            'qoshe',
+            'qualidator',
+            'qwantify',
+            'rambler',
+            'readability',
+            'ruby',
+            'sbsearch',
+            'scoop\.it',
+            'scooter',
+            'scoutjet',
+            'scrapy',
+            'scrubby',
+            'scrubbybloglines',
+            'shareaholic',
+            'shopwiki',
+            'simplepie',
+            'sistrix',
+            'sitechecker',
+            'siteexplorer',
+            'snapshot',
+            'sogou',
+            'special_archiver',
+            'speedy',
+            'spinn3r',
+            'spreadtrum',
+            'steeler',
+            'subscriber',
+            'suma',
+            'superdownloads',
+            'svenska-webbsido',
+            'teoma',
+            'the knowledge AI',
+            'thumbshots',
+            'tineye',
+            'traackr',
+            'trendiction',
+            'trendsmap',
+            'tweetedtimes',
+            'tweetmeme',
+            'universalfeedparser',
+            'uaslinkchecker',
+            'undrip',
+            'unwindfetchor',
+            'upday',
+            'vedma',
+            'vkshare',
+            'vm',
+            'wch',
+            'webalta',
+            'webcookies',
+            'webparser',
+            'webthumbnail',
+            'wesee',
+            'wise-guys',
+            'woko',
+            'wordpress',
+            'wotbox',
+            'y!j-bri',
+            'y!j-bro',
+            'y!j-brw',
+            'y!j-bsc',
+            'yahoo',
+            'yahoo!',
+            'yahooysmcm',
+            'ymobactus',
+            'yats',
+            'yeti',
+            'zeerch'
+        )) . ',i',
+        (string)$_SERVER['HTTP_USER_AGENT'])
+    );
 }
 if (!defined('_IS_BOT_FRIEND')){
-	define('_IS_BOT_FRIEND',
-		isset($_SERVER['HTTP_USER_AGENT'])
-		and preg_match(',' . implode ('|', array(
-			'facebookexternalhit',
-			'flipboardproxy',
-			'wordpress'
-		)) . ',i',
-		(string)$_SERVER['HTTP_USER_AGENT'])
-	);
+    define('_IS_BOT_FRIEND',
+        isset($_SERVER['HTTP_USER_AGENT'])
+        and preg_match(',' . implode ('|', array(
+            'facebookexternalhit',
+            'flipboardproxy',
+            'wordpress'
+        )) . ',i',
+        (string)$_SERVER['HTTP_USER_AGENT'])
+    );
 }
 
 /*
@@ -244,17 +244,17 @@ 
  */
 $_exceptions = array('id_table','id_base','id_parent','id_article_pdf');
 foreach ($_GET as $var => $val)
-	if ($_GET[$var] and strncmp($var, "id_", 3) == 0
-		and !in_array($var, $_exceptions))
-		$_GET[$var] = is_array($_GET[$var])?@array_map('intval', $_GET[$var]):intval($_GET[$var]);
+    if ($_GET[$var] and strncmp($var, "id_", 3) == 0
+        and !in_array($var, $_exceptions))
+        $_GET[$var] = is_array($_GET[$var])?@array_map('intval', $_GET[$var]):intval($_GET[$var]);
 foreach ($_POST as $var => $val)
-	if ($_POST[$var] and strncmp($var, "id_", 3) == 0
-		and !in_array($var, $_exceptions))
-		$_POST[$var] = is_array($_POST[$var])?@array_map('intval', $_POST[$var]):intval($_POST[$var]);
+    if ($_POST[$var] and strncmp($var, "id_", 3) == 0
+        and !in_array($var, $_exceptions))
+        $_POST[$var] = is_array($_POST[$var])?@array_map('intval', $_POST[$var]):intval($_POST[$var]);
 foreach ($GLOBALS as $var => $val)
-	if ($GLOBALS[$var] and strncmp($var, "id_", 3) == 0
-		and !in_array($var, $_exceptions))
-		$GLOBALS[$var] = is_array($GLOBALS[$var])?@array_map('intval', $GLOBALS[$var]):intval($GLOBALS[$var]);
+    if ($GLOBALS[$var] and strncmp($var, "id_", 3) == 0
+        and !in_array($var, $_exceptions))
+        $GLOBALS[$var] = is_array($GLOBALS[$var])?@array_map('intval', $GLOBALS[$var]):intval($GLOBALS[$var]);
 
 /*
  * Interdit la variable $cjpeg_command, qui était utilisée sans
@@ -266,17 +266,17 @@ 
  * Contrôle de quelques variables (XSS)
  */
 foreach(array('lang', 'var_recherche', 'aide', 'var_lang_r', 'lang_r', 'var_ajax_ancre', 'nom_fichier') as $var) {
-	if (isset($_GET[$var]))
-		$_REQUEST[$var] = $GLOBALS[$var] = $_GET[$var] = preg_replace(',[^\w\,/#&;-]+,', ' ', (string)$_GET[$var]);
-	if (isset($_POST[$var]))
-		$_REQUEST[$var] = $GLOBALS[$var] = $_POST[$var] = preg_replace(',[^\w\,/#&;-]+,', ' ', (string)$_POST[$var]);
+    if (isset($_GET[$var]))
+        $_REQUEST[$var] = $GLOBALS[$var] = $_GET[$var] = preg_replace(',[^\w\,/#&;-]+,', ' ', (string)$_GET[$var]);
+    if (isset($_POST[$var]))
+        $_REQUEST[$var] = $GLOBALS[$var] = $_POST[$var] = preg_replace(',[^\w\,/#&;-]+,', ' ', (string)$_POST[$var]);
 }
 
 /*
  * Filtre l'accès à spip_acces_doc (injection SQL en 1.8.2x)
  */
 if (preg_match(',^(.*/)?spip_acces_doc\.,', (string)$_SERVER['REQUEST_URI'])) {
-	$file = addslashes((string)$_GET['file']);
+    $file = addslashes((string)$_GET['file']);
 }
 
 /*
@@ -285,79 +285,79 @@ 
 if (isset($_REQUEST['mode']) and isset($_REQUEST['page'])
 and !in_array($_REQUEST['mode'], array("6forum", "1comite"))
 and $_REQUEST['page'] == "identifiants")
-	$ecran_securite_raison = "identifiants";
+    $ecran_securite_raison = "identifiants";
 
 /*
  * Agenda joue à l'injection php
  */
 if (isset($_REQUEST['partie_cal'])
 and $_REQUEST['partie_cal'] !== htmlentities((string)$_REQUEST['partie_cal']))
-	$ecran_securite_raison = "partie_cal";
+    $ecran_securite_raison = "partie_cal";
 if (isset($_REQUEST['echelle'])
 and $_REQUEST['echelle'] !== htmlentities((string)$_REQUEST['echelle']))
-	$ecran_securite_raison = "echelle";
+    $ecran_securite_raison = "echelle";
 
 /*
  * Espace privé
  */
 if (isset($_REQUEST['exec'])
 and !preg_match(',^[\w-]+$,', (string)$_REQUEST['exec']))
-	$ecran_securite_raison = "exec";
+    $ecran_securite_raison = "exec";
 if (isset($_REQUEST['cherche_auteur'])
 and preg_match(',[<],', (string)$_REQUEST['cherche_auteur']))
-	$ecran_securite_raison = "cherche_auteur";
+    $ecran_securite_raison = "cherche_auteur";
 if (isset($_REQUEST['exec'])
 and $_REQUEST['exec'] == 'auteurs'
 and preg_match(',[<],', (string)$_REQUEST['recherche']))
-	$ecran_securite_raison = "recherche";
+    $ecran_securite_raison = "recherche";
 if (isset($_REQUEST['exec'])
 and $_REQUEST['exec'] == 'info_plugin'
 and preg_match(',[<],', (string)$_REQUEST['plugin']))
-	$ecran_securite_raison = "plugin";
+    $ecran_securite_raison = "plugin";
 if (isset($_REQUEST['exec'])
 and $_REQUEST['exec'] == 'puce_statut'
 and isset($_REQUEST['id'])
 and !intval($_REQUEST['id']))
-	$ecran_securite_raison = "puce_statut";
+    $ecran_securite_raison = "puce_statut";
 if (isset($_REQUEST['action'])
 and $_REQUEST['action'] == 'configurer') {
-	if (@file_exists('inc_version.php')
-	or @file_exists('ecrire/inc_version.php')) {
-		function action_configurer() {
-			include_spip('inc/autoriser');
-			if(!autoriser('configurer', _request('configuration'))) {
-				include_spip('inc/minipres');
-				echo minipres(_T('info_acces_interdit'));
-				exit;
-			}
-			require _DIR_RESTREINT.'action/configurer.php';
-			action_configurer_dist();
-		}
-	}
+    if (@file_exists('inc_version.php')
+    or @file_exists('ecrire/inc_version.php')) {
+        function action_configurer() {
+            include_spip('inc/autoriser');
+            if(!autoriser('configurer', _request('configuration'))) {
+                include_spip('inc/minipres');
+                echo minipres(_T('info_acces_interdit'));
+                exit;
+            }
+            require _DIR_RESTREINT.'action/configurer.php';
+            action_configurer_dist();
+        }
+    }
 }
 
 /*
  * Bloque les requêtes contenant %00 (manipulation d'include)
  */
 if (strpos(
-	@get_magic_quotes_gpc() ?
-		stripslashes(serialize($_REQUEST)) : serialize($_REQUEST),
-	chr(0)
+    @get_magic_quotes_gpc() ?
+        stripslashes(serialize($_REQUEST)) : serialize($_REQUEST),
+    chr(0)
 ) !== false)
-	$ecran_securite_raison = "%00";
+    $ecran_securite_raison = "%00";
 
 /*
  * Bloque les requêtes fond=formulaire_
  */
 if (isset($_REQUEST['fond'])
 and preg_match(',^formulaire_,i', $_REQUEST['fond']))
-	$ecran_securite_raison = "fond=formulaire_";
+    $ecran_securite_raison = "fond=formulaire_";
 
 /*
  * Bloque les requêtes du type ?GLOBALS[type_urls]=toto (bug vieux php)
  */
 if (isset($_REQUEST['GLOBALS']))
-	$ecran_securite_raison = "GLOBALS[GLOBALS]";
+    $ecran_securite_raison = "GLOBALS[GLOBALS]";
 
 /*
  * Bloque les requêtes des bots sur:
@@ -365,26 +365,26 @@ 
  * les paginations entremélées
  */
 if (_IS_BOT and (
-	(isset($_REQUEST['echelle']) and isset($_REQUEST['partie_cal']) and isset($_REQUEST['type']))
-	or (strpos((string)$_SERVER['REQUEST_URI'], 'debut_') and preg_match(',[?&]debut_.*&debut_,', (string)$_SERVER['REQUEST_URI']))
-		or (isset($_REQUEST['calendrier_annee']) and strpos((string)$_SERVER['REQUEST_URI'], 'debut_') )
-		or (isset($_REQUEST['calendrier_annee']) and preg_match(',[?&]calendrier_annee=.*&calendrier_annee=,', (string)$_SERVER['REQUEST_URI']))
+    (isset($_REQUEST['echelle']) and isset($_REQUEST['partie_cal']) and isset($_REQUEST['type']))
+    or (strpos((string)$_SERVER['REQUEST_URI'], 'debut_') and preg_match(',[?&]debut_.*&debut_,', (string)$_SERVER['REQUEST_URI']))
+        or (isset($_REQUEST['calendrier_annee']) and strpos((string)$_SERVER['REQUEST_URI'], 'debut_') )
+        or (isset($_REQUEST['calendrier_annee']) and preg_match(',[?&]calendrier_annee=.*&calendrier_annee=,', (string)$_SERVER['REQUEST_URI']))
 )
 )
-	$ecran_securite_raison = "robot agenda/double pagination";
+    $ecran_securite_raison = "robot agenda/double pagination";
 
 /*
  * Bloque une vieille page de tests de CFG (<1.11)
  * Bloque un XSS sur une page inexistante
  */
 if (isset($_REQUEST['page'])) {
-	if ($_REQUEST['page'] == 'test_cfg')
-		$ecran_securite_raison = "test_cfg";
-	if ($_REQUEST['page'] !== htmlspecialchars((string)$_REQUEST['page']))
-		$ecran_securite_raison = "xsspage";
-	if ($_REQUEST['page'] == '404'
-	and isset($_REQUEST['erreur']))
-		$ecran_securite_raison = "xss404";
+    if ($_REQUEST['page'] == 'test_cfg')
+        $ecran_securite_raison = "test_cfg";
+    if ($_REQUEST['page'] !== htmlspecialchars((string)$_REQUEST['page']))
+        $ecran_securite_raison = "xsspage";
+    if ($_REQUEST['page'] == '404'
+    and isset($_REQUEST['erreur']))
+        $ecran_securite_raison = "xss404";
 }
 
 /*
@@ -392,40 +392,40 @@ 
  */
 foreach (array('var_login') as $var)
 if (isset($_REQUEST[$var]) and is_array($_REQUEST[$var]))
-	$ecran_securite_raison = "xss ".$var;
+    $ecran_securite_raison = "xss ".$var;
 
 /*
  * Parade antivirale contre un cheval de troie
  */
 if (!function_exists('tmp_lkojfghx')) {
-	function tmp_lkojfghx() {}
-	function tmp_lkojfghx2($a = 0, $b = 0, $c = 0, $d = 0) {
-		// si jamais on est arrivé ici sur une erreur php
-		// et qu'un autre gestionnaire d'erreur est défini, l'appeller
-		if ($b && $GLOBALS['tmp_xhgfjokl'])
-			call_user_func($GLOBALS['tmp_xhgfjokl'], $a, $b, $c, $d);
-	}
+    function tmp_lkojfghx() {}
+    function tmp_lkojfghx2($a = 0, $b = 0, $c = 0, $d = 0) {
+        // si jamais on est arrivé ici sur une erreur php
+        // et qu'un autre gestionnaire d'erreur est défini, l'appeller
+        if ($b && $GLOBALS['tmp_xhgfjokl'])
+            call_user_func($GLOBALS['tmp_xhgfjokl'], $a, $b, $c, $d);
+    }
 }
 if (isset($_POST['tmp_lkojfghx3']))
-	$ecran_securite_raison = "gumblar";
+    $ecran_securite_raison = "gumblar";
 
 /*
  * Outils XML mal sécurisés < 2.0.9
  */
 if (isset($_REQUEST['transformer_xml']))
-	$ecran_securite_raison = "transformer_xml";
+    $ecran_securite_raison = "transformer_xml";
 
 /*
  * Outils XML mal sécurisés again
  */
 if (isset($_REQUEST['var_url']) and $_REQUEST['var_url'] and isset($_REQUEST['exec']) and $_REQUEST['exec']=='valider_xml'){
-	$url = trim($_REQUEST['var_url']);
-	if (strncmp($url,'/',1)==0
-	  or (($p=strpos($url,'..'))!==false AND strpos($url,'..',$p+3)!==false)
-	  or (($p=strpos($url,'..'))!==false AND strpos($url,'IMG',$p+3)!==false)
-		or (strpos($url,'://')!==false or strpos($url,':\\')!==false)) {
-		$ecran_securite_raison = 'URL interdite pour var_url';
-	}
+    $url = trim($_REQUEST['var_url']);
+    if (strncmp($url,'/',1)==0
+      or (($p=strpos($url,'..'))!==false AND strpos($url,'..',$p+3)!==false)
+      or (($p=strpos($url,'..'))!==false AND strpos($url,'IMG',$p+3)!==false)
+        or (strpos($url,'://')!==false or strpos($url,':\\')!==false)) {
+        $ecran_securite_raison = 'URL interdite pour var_url';
+    }
 }
 
 /*
@@ -433,10 +433,10 @@ 
  */
 if (isset($_REQUEST['nom_sauvegarde'])
 and strstr((string)$_REQUEST['nom_sauvegarde'], '/'))
-	$ecran_securite_raison = 'nom_sauvegarde manipulee';
+    $ecran_securite_raison = 'nom_sauvegarde manipulee';
 if (isset($_REQUEST['znom_sauvegarde'])
 and strstr((string)$_REQUEST['znom_sauvegarde'], '/'))
-	$ecran_securite_raison = 'znom_sauvegarde manipulee';
+    $ecran_securite_raison = 'znom_sauvegarde manipulee';
 
 
 /*
@@ -445,26 +445,26 @@ 
  */
 if (isset($_REQUEST['op']) and isset($_REQUEST['page'])
 and $_REQUEST['op'] !== preg_replace('/[^\-\w]/', '', $_REQUEST['op']))
-	$ecran_securite_raison = 'op';
+    $ecran_securite_raison = 'op';
 
 /*
  * Forms & Table ne se méfiait pas assez des uploads de fichiers
  */
 if (count($_FILES)){
-	foreach($_FILES as $k => $v){
-		 if (preg_match(',^fichier_\d+$,', $k)
-		 and preg_match(',\.php,i', $v['name']))
-		 	unset($_FILES[$k]);
-	}
+    foreach($_FILES as $k => $v){
+            if (preg_match(',^fichier_\d+$,', $k)
+         and preg_match(',\.php,i', $v['name']))
+                unset($_FILES[$k]);
+    }
 }
 /*
  * et Contact trop laxiste avec une variable externe
  * on bloque pas le post pour eviter de perdre des donnees mais on unset la variable et c'est tout
  */
 if (isset($_REQUEST['pj_enregistrees_nom']) and $_REQUEST['pj_enregistrees_nom']){
-	unset($_REQUEST['pj_enregistrees_nom']);
-	unset($_GET['pj_enregistrees_nom']);
-	unset($_POST['pj_enregistrees_nom']);
+    unset($_REQUEST['pj_enregistrees_nom']);
+    unset($_GET['pj_enregistrees_nom']);
+    unset($_POST['pj_enregistrees_nom']);
 }
 
 /*
@@ -472,66 +472,66 @@ 
  */
 if (isset($_REQUEST['reinstall'])
 and $_REQUEST['reinstall'] == 'oui')
-	$ecran_securite_raison = 'reinstall=oui';
+    $ecran_securite_raison = 'reinstall=oui';
 
 /*
  * Échappement xss referer
  */
 if (isset($_SERVER['HTTP_REFERER']))
-	$_SERVER['HTTP_REFERER'] = strtr($_SERVER['HTTP_REFERER'], '<>"\'', '[]##');
+    $_SERVER['HTTP_REFERER'] = strtr($_SERVER['HTTP_REFERER'], '<>"\'', '[]##');
 
 
 /*
  * Echappement HTTP_X_FORWARDED_HOST
  */
 if (isset($_SERVER['HTTP_X_FORWARDED_HOST']))
-	$_SERVER['HTTP_X_FORWARDED_HOST'] = strtr($_SERVER['HTTP_X_FORWARDED_HOST'], "<>?\"\{\}\$'` \r\n", '____________');
+    $_SERVER['HTTP_X_FORWARDED_HOST'] = strtr($_SERVER['HTTP_X_FORWARDED_HOST'], "<>?\"\{\}\$'` \r\n", '____________');
 
 
 /*
  * Réinjection des clés en html dans l'admin r19561
  */
 if (strpos($_SERVER['REQUEST_URI'], "ecrire/") !== false or isset($_REQUEST['var_memotri'])){
-	$zzzz = implode("", array_keys($_REQUEST));
-	if (strlen($zzzz) != strcspn($zzzz, '<>"\''))
-		$ecran_securite_raison = 'Cle incorrecte en $_REQUEST';
+    $zzzz = implode("", array_keys($_REQUEST));
+    if (strlen($zzzz) != strcspn($zzzz, '<>"\''))
+        $ecran_securite_raison = 'Cle incorrecte en $_REQUEST';
 }
 
 /*
  * Injection par connect
  */
 if (isset($_REQUEST['connect'])
-	and
-	// cas qui permettent de sortir d'un commentaire PHP
-	(strpos($_REQUEST['connect'], "?") !== false
-	 or strpos($_REQUEST['connect'], "<") !== false
-	 or strpos($_REQUEST['connect'], ">") !== false
-	 or strpos($_REQUEST['connect'], "\n") !== false
-	 or strpos($_REQUEST['connect'], "\r") !== false)
-	) {
-	$ecran_securite_raison = "malformed connect argument";
+    and
+    // cas qui permettent de sortir d'un commentaire PHP
+    (strpos($_REQUEST['connect'], "?") !== false
+     or strpos($_REQUEST['connect'], "<") !== false
+     or strpos($_REQUEST['connect'], ">") !== false
+     or strpos($_REQUEST['connect'], "\n") !== false
+     or strpos($_REQUEST['connect'], "\r") !== false)
+    ) {
+    $ecran_securite_raison = "malformed connect argument";
 }
 
 /*
  * S'il y a une raison de mourir, mourons
  */
 if (isset($ecran_securite_raison)) {
-	header("HTTP/1.0 403 Forbidden");
-	header("Expires: Wed, 11 Jan 1984 05:00:00 GMT");
-	header("Cache-Control: no-cache, must-revalidate");
-	header("Pragma: no-cache");
-	header("Content-Type: text/html");
-	die("<html><title>Error 403: Forbidden</title><body><h1>Error 403</h1><p>You are not authorized to view this page ($ecran_securite_raison)</p></body></html>");
+    header("HTTP/1.0 403 Forbidden");
+    header("Expires: Wed, 11 Jan 1984 05:00:00 GMT");
+    header("Cache-Control: no-cache, must-revalidate");
+    header("Pragma: no-cache");
+    header("Content-Type: text/html");
+    die("<html><title>Error 403: Forbidden</title><body><h1>Error 403</h1><p>You are not authorized to view this page ($ecran_securite_raison)</p></body></html>");
 }
 
 /*
  * Un filtre filtrer_entites securise
  */
 if (!function_exists('filtre_filtrer_entites_dist')) {
-	function filtre_filtrer_entites_dist($t) {
-		include_spip('inc/texte');
-		return interdire_scripts(filtrer_entites($t));
-	}
+    function filtre_filtrer_entites_dist($t) {
+        include_spip('inc/texte');
+        return interdire_scripts(filtrer_entites($t));
+    }
 }
 
 
@@ -545,35 +545,35 @@ 
  * Bloque les bots quand le load déborde
  */
 if (!defined('_ECRAN_SECURITE_LOAD'))
-	define('_ECRAN_SECURITE_LOAD', 4);
+    define('_ECRAN_SECURITE_LOAD', 4);
 
 if (
-	defined('_ECRAN_SECURITE_LOAD')
-	and _ECRAN_SECURITE_LOAD > 0
-	and _IS_BOT
-	and !_IS_BOT_FRIEND
-	and $_SERVER['REQUEST_METHOD'] === 'GET'
-	and (
-		(function_exists('sys_getloadavg')
-		  and $load = sys_getloadavg()
-		  and is_array($load)
-		  and $load = array_shift($load)
-		)
-		or
-		(@is_readable('/proc/loadavg')
-		  and $load = file_get_contents('/proc/loadavg')
-		  and $load = floatval($load)
-		)
-	)
-	and $load > _ECRAN_SECURITE_LOAD // eviter l'evaluation suivante si de toute facon le load est inferieur a la limite
-	and rand(0, $load * $load) > _ECRAN_SECURITE_LOAD * _ECRAN_SECURITE_LOAD
+    defined('_ECRAN_SECURITE_LOAD')
+    and _ECRAN_SECURITE_LOAD > 0
+    and _IS_BOT
+    and !_IS_BOT_FRIEND
+    and $_SERVER['REQUEST_METHOD'] === 'GET'
+    and (
+        (function_exists('sys_getloadavg')
+          and $load = sys_getloadavg()
+          and is_array($load)
+          and $load = array_shift($load)
+        )
+        or
+        (@is_readable('/proc/loadavg')
+          and $load = file_get_contents('/proc/loadavg')
+          and $load = floatval($load)
+        )
+    )
+    and $load > _ECRAN_SECURITE_LOAD // eviter l'evaluation suivante si de toute facon le load est inferieur a la limite
+    and rand(0, $load * $load) > _ECRAN_SECURITE_LOAD * _ECRAN_SECURITE_LOAD
 ) {
-	//https://webmasters.stackexchange.com/questions/65674/should-i-return-a-429-or-503-status-code-to-a-bot
-	header("HTTP/1.0 429 Too Many Requests");
-	header("Retry-After: 300");
-	header("Expires: Wed, 11 Jan 1984 05:00:00 GMT");
-	header("Cache-Control: no-cache, must-revalidate");
-	header("Pragma: no-cache");
-	header("Content-Type: text/html");
-	die("<html><title>Status 429: Too Many Requests</title><body><h1>Status 429</h1><p>Too Many Requests (try again soon)</p></body></html>");
+    //https://webmasters.stackexchange.com/questions/65674/should-i-return-a-429-or-503-status-code-to-a-bot
+    header("HTTP/1.0 429 Too Many Requests");
+    header("Retry-After: 300");
+    header("Expires: Wed, 11 Jan 1984 05:00:00 GMT");
+    header("Cache-Control: no-cache, must-revalidate");
+    header("Pragma: no-cache");
+    header("Content-Type: text/html");
+    die("<html><title>Status 429: Too Many Requests</title><body><h1>Status 429</h1><p>Too Many Requests (try again soon)</p></body></html>");
 }

Spacing +40 added lines, -40 removed lines

@@ -23,18 +23,18 @@ 
  * var_isbot=1 peut etre utilise pour monitorer la disponibilite pour les bots (sujets a 503 de delestage si
  * le load depasse ECRAN_SECURITE_LOAD)
  */
-if (!defined('_IS_BOT') and isset($_GET['var_isbot'])){
+if (!defined('_IS_BOT') and isset($_GET['var_isbot'])) {
 	define('_IS_BOT', $_GET['var_isbot'] ? true : false);
 }
 
 /*
  * Détecteur de robot d'indexation
  */
-if (!defined('_IS_BOT')){
+if (!defined('_IS_BOT')) {
 	define('_IS_BOT',
 		isset($_SERVER['HTTP_USER_AGENT'])
 		and preg_match(','
-		. implode ('|', array(
+		. implode('|', array(
 			// mots generiques
 			'bot',
 			'slurp',
@@ -219,19 +219,19 @@ 
 			'yats',
 			'yeti',
 			'zeerch'
-		)) . ',i',
-		(string)$_SERVER['HTTP_USER_AGENT'])
+		)).',i',
+		(string) $_SERVER['HTTP_USER_AGENT'])
 	);
 }
-if (!defined('_IS_BOT_FRIEND')){
+if (!defined('_IS_BOT_FRIEND')) {
 	define('_IS_BOT_FRIEND',
 		isset($_SERVER['HTTP_USER_AGENT'])
-		and preg_match(',' . implode ('|', array(
+		and preg_match(','.implode('|', array(
 			'facebookexternalhit',
 			'flipboardproxy',
 			'wordpress'
-		)) . ',i',
-		(string)$_SERVER['HTTP_USER_AGENT'])
+		)).',i',
+		(string) $_SERVER['HTTP_USER_AGENT'])
 	);
 }
 
@@ -242,19 +242,19 @@ 
  * (sauf pour id_table, qui n'est pas numérique jusqu'à [5743])
  * (id_base est une variable de la config des widgets de WordPress)
  */
-$_exceptions = array('id_table','id_base','id_parent','id_article_pdf');
+$_exceptions = array('id_table', 'id_base', 'id_parent', 'id_article_pdf');
 foreach ($_GET as $var => $val)
 	if ($_GET[$var] and strncmp($var, "id_", 3) == 0
 		and !in_array($var, $_exceptions))
-		$_GET[$var] = is_array($_GET[$var])?@array_map('intval', $_GET[$var]):intval($_GET[$var]);
+		$_GET[$var] = is_array($_GET[$var]) ? @array_map('intval', $_GET[$var]) : intval($_GET[$var]);
 foreach ($_POST as $var => $val)
 	if ($_POST[$var] and strncmp($var, "id_", 3) == 0
 		and !in_array($var, $_exceptions))
-		$_POST[$var] = is_array($_POST[$var])?@array_map('intval', $_POST[$var]):intval($_POST[$var]);
+		$_POST[$var] = is_array($_POST[$var]) ? @array_map('intval', $_POST[$var]) : intval($_POST[$var]);
 foreach ($GLOBALS as $var => $val)
 	if ($GLOBALS[$var] and strncmp($var, "id_", 3) == 0
 		and !in_array($var, $_exceptions))
-		$GLOBALS[$var] = is_array($GLOBALS[$var])?@array_map('intval', $GLOBALS[$var]):intval($GLOBALS[$var]);
+		$GLOBALS[$var] = is_array($GLOBALS[$var]) ? @array_map('intval', $GLOBALS[$var]) : intval($GLOBALS[$var]);
 
 /*
  * Interdit la variable $cjpeg_command, qui était utilisée sans
@@ -265,18 +265,18 @@ 
 /*
  * Contrôle de quelques variables (XSS)
  */
-foreach(array('lang', 'var_recherche', 'aide', 'var_lang_r', 'lang_r', 'var_ajax_ancre', 'nom_fichier') as $var) {
+foreach (array('lang', 'var_recherche', 'aide', 'var_lang_r', 'lang_r', 'var_ajax_ancre', 'nom_fichier') as $var) {
 	if (isset($_GET[$var]))
-		$_REQUEST[$var] = $GLOBALS[$var] = $_GET[$var] = preg_replace(',[^\w\,/#&;-]+,', ' ', (string)$_GET[$var]);
+		$_REQUEST[$var] = $GLOBALS[$var] = $_GET[$var] = preg_replace(',[^\w\,/#&;-]+,', ' ', (string) $_GET[$var]);
 	if (isset($_POST[$var]))
-		$_REQUEST[$var] = $GLOBALS[$var] = $_POST[$var] = preg_replace(',[^\w\,/#&;-]+,', ' ', (string)$_POST[$var]);
+		$_REQUEST[$var] = $GLOBALS[$var] = $_POST[$var] = preg_replace(',[^\w\,/#&;-]+,', ' ', (string) $_POST[$var]);
 }
 
 /*
  * Filtre l'accès à spip_acces_doc (injection SQL en 1.8.2x)
  */
-if (preg_match(',^(.*/)?spip_acces_doc\.,', (string)$_SERVER['REQUEST_URI'])) {
-	$file = addslashes((string)$_GET['file']);
+if (preg_match(',^(.*/)?spip_acces_doc\.,', (string) $_SERVER['REQUEST_URI'])) {
+	$file = addslashes((string) $_GET['file']);
 }
 
 /*
@@ -291,28 +291,28 @@ 
  * Agenda joue à l'injection php
  */
 if (isset($_REQUEST['partie_cal'])
-and $_REQUEST['partie_cal'] !== htmlentities((string)$_REQUEST['partie_cal']))
+and $_REQUEST['partie_cal'] !== htmlentities((string) $_REQUEST['partie_cal']))
 	$ecran_securite_raison = "partie_cal";
 if (isset($_REQUEST['echelle'])
-and $_REQUEST['echelle'] !== htmlentities((string)$_REQUEST['echelle']))
+and $_REQUEST['echelle'] !== htmlentities((string) $_REQUEST['echelle']))
 	$ecran_securite_raison = "echelle";
 
 /*
  * Espace privé
  */
 if (isset($_REQUEST['exec'])
-and !preg_match(',^[\w-]+$,', (string)$_REQUEST['exec']))
+and !preg_match(',^[\w-]+$,', (string) $_REQUEST['exec']))
 	$ecran_securite_raison = "exec";
 if (isset($_REQUEST['cherche_auteur'])
-and preg_match(',[<],', (string)$_REQUEST['cherche_auteur']))
+and preg_match(',[<],', (string) $_REQUEST['cherche_auteur']))
 	$ecran_securite_raison = "cherche_auteur";
 if (isset($_REQUEST['exec'])
 and $_REQUEST['exec'] == 'auteurs'
-and preg_match(',[<],', (string)$_REQUEST['recherche']))
+and preg_match(',[<],', (string) $_REQUEST['recherche']))
 	$ecran_securite_raison = "recherche";
 if (isset($_REQUEST['exec'])
 and $_REQUEST['exec'] == 'info_plugin'
-and preg_match(',[<],', (string)$_REQUEST['plugin']))
+and preg_match(',[<],', (string) $_REQUEST['plugin']))
 	$ecran_securite_raison = "plugin";
 if (isset($_REQUEST['exec'])
 and $_REQUEST['exec'] == 'puce_statut'
@@ -325,7 +325,7 @@ 
 	or @file_exists('ecrire/inc_version.php')) {
 		function action_configurer() {
 			include_spip('inc/autoriser');
-			if(!autoriser('configurer', _request('configuration'))) {
+			if (!autoriser('configurer', _request('configuration'))) {
 				include_spip('inc/minipres');
 				echo minipres(_T('info_acces_interdit'));
 				exit;
@@ -366,9 +366,9 @@ 
  */
 if (_IS_BOT and (
 	(isset($_REQUEST['echelle']) and isset($_REQUEST['partie_cal']) and isset($_REQUEST['type']))
-	or (strpos((string)$_SERVER['REQUEST_URI'], 'debut_') and preg_match(',[?&]debut_.*&debut_,', (string)$_SERVER['REQUEST_URI']))
-		or (isset($_REQUEST['calendrier_annee']) and strpos((string)$_SERVER['REQUEST_URI'], 'debut_') )
-		or (isset($_REQUEST['calendrier_annee']) and preg_match(',[?&]calendrier_annee=.*&calendrier_annee=,', (string)$_SERVER['REQUEST_URI']))
+	or (strpos((string) $_SERVER['REQUEST_URI'], 'debut_') and preg_match(',[?&]debut_.*&debut_,', (string) $_SERVER['REQUEST_URI']))
+		or (isset($_REQUEST['calendrier_annee']) and strpos((string) $_SERVER['REQUEST_URI'], 'debut_'))
+		or (isset($_REQUEST['calendrier_annee']) and preg_match(',[?&]calendrier_annee=.*&calendrier_annee=,', (string) $_SERVER['REQUEST_URI']))
 )
 )
 	$ecran_securite_raison = "robot agenda/double pagination";
@@ -380,7 +380,7 @@ 
 if (isset($_REQUEST['page'])) {
 	if ($_REQUEST['page'] == 'test_cfg')
 		$ecran_securite_raison = "test_cfg";
-	if ($_REQUEST['page'] !== htmlspecialchars((string)$_REQUEST['page']))
+	if ($_REQUEST['page'] !== htmlspecialchars((string) $_REQUEST['page']))
 		$ecran_securite_raison = "xsspage";
 	if ($_REQUEST['page'] == '404'
 	and isset($_REQUEST['erreur']))
@@ -418,12 +418,12 @@ 
 /*
  * Outils XML mal sécurisés again
  */
-if (isset($_REQUEST['var_url']) and $_REQUEST['var_url'] and isset($_REQUEST['exec']) and $_REQUEST['exec']=='valider_xml'){
+if (isset($_REQUEST['var_url']) and $_REQUEST['var_url'] and isset($_REQUEST['exec']) and $_REQUEST['exec'] == 'valider_xml') {
 	$url = trim($_REQUEST['var_url']);
-	if (strncmp($url,'/',1)==0
-	  or (($p=strpos($url,'..'))!==false AND strpos($url,'..',$p+3)!==false)
-	  or (($p=strpos($url,'..'))!==false AND strpos($url,'IMG',$p+3)!==false)
-		or (strpos($url,'://')!==false or strpos($url,':\\')!==false)) {
+	if (strncmp($url, '/', 1) == 0
+	  or (($p = strpos($url, '..')) !== false AND strpos($url, '..', $p + 3) !== false)
+	  or (($p = strpos($url, '..')) !== false AND strpos($url, 'IMG', $p + 3) !== false)
+		or (strpos($url, '://') !== false or strpos($url, ':\\') !== false)) {
 		$ecran_securite_raison = 'URL interdite pour var_url';
 	}
 }
@@ -432,10 +432,10 @@ 
  * Sauvegarde mal securisée < 2.0.9
  */
 if (isset($_REQUEST['nom_sauvegarde'])
-and strstr((string)$_REQUEST['nom_sauvegarde'], '/'))
+and strstr((string) $_REQUEST['nom_sauvegarde'], '/'))
 	$ecran_securite_raison = 'nom_sauvegarde manipulee';
 if (isset($_REQUEST['znom_sauvegarde'])
-and strstr((string)$_REQUEST['znom_sauvegarde'], '/'))
+and strstr((string) $_REQUEST['znom_sauvegarde'], '/'))
 	$ecran_securite_raison = 'znom_sauvegarde manipulee';
 
 
@@ -450,8 +450,8 @@ 
 /*
  * Forms & Table ne se méfiait pas assez des uploads de fichiers
  */
-if (count($_FILES)){
-	foreach($_FILES as $k => $v){
+if (count($_FILES)) {
+	foreach ($_FILES as $k => $v) {
 		 if (preg_match(',^fichier_\d+$,', $k)
 		 and preg_match(',\.php,i', $v['name']))
 		 	unset($_FILES[$k]);
@@ -461,7 +461,7 @@ 
  * et Contact trop laxiste avec une variable externe
  * on bloque pas le post pour eviter de perdre des donnees mais on unset la variable et c'est tout
  */
-if (isset($_REQUEST['pj_enregistrees_nom']) and $_REQUEST['pj_enregistrees_nom']){
+if (isset($_REQUEST['pj_enregistrees_nom']) and $_REQUEST['pj_enregistrees_nom']) {
 	unset($_REQUEST['pj_enregistrees_nom']);
 	unset($_GET['pj_enregistrees_nom']);
 	unset($_POST['pj_enregistrees_nom']);
@@ -491,7 +491,7 @@ 
 /*
  * Réinjection des clés en html dans l'admin r19561
  */
-if (strpos($_SERVER['REQUEST_URI'], "ecrire/") !== false or isset($_REQUEST['var_memotri'])){
+if (strpos($_SERVER['REQUEST_URI'], "ecrire/") !== false or isset($_REQUEST['var_memotri'])) {
 	$zzzz = implode("", array_keys($_REQUEST));
 	if (strlen($zzzz) != strcspn($zzzz, '<>"\''))
 		$ecran_securite_raison = 'Cle incorrecte en $_REQUEST';

Braces +80 added lines, -46 removed lines

@@ -14,8 +14,9 @@ 
 /*
  * Test utilisateur
  */
-if (isset($_GET['test_ecran_securite']))
+if (isset($_GET['test_ecran_securite'])) {
 	$ecran_securite_raison = 'test '._ECRAN_SECURITE;
+}
 
 /*
  * Monitoring
@@ -243,18 +244,21 @@ 
  * (id_base est une variable de la config des widgets de WordPress)
  */
 $_exceptions = array('id_table','id_base','id_parent','id_article_pdf');
-foreach ($_GET as $var => $val)
+foreach ($_GET as $var => $val) {
 	if ($_GET[$var] and strncmp($var, "id_", 3) == 0
 		and !in_array($var, $_exceptions))
 		$_GET[$var] = is_array($_GET[$var])?@array_map('intval', $_GET[$var]):intval($_GET[$var]);
-foreach ($_POST as $var => $val)
+}
+foreach ($_POST as $var => $val) {
 	if ($_POST[$var] and strncmp($var, "id_", 3) == 0
 		and !in_array($var, $_exceptions))
 		$_POST[$var] = is_array($_POST[$var])?@array_map('intval', $_POST[$var]):intval($_POST[$var]);
-foreach ($GLOBALS as $var => $val)
+}
+foreach ($GLOBALS as $var => $val) {
 	if ($GLOBALS[$var] and strncmp($var, "id_", 3) == 0
 		and !in_array($var, $_exceptions))
 		$GLOBALS[$var] = is_array($GLOBALS[$var])?@array_map('intval', $GLOBALS[$var]):intval($GLOBALS[$var]);
+}
 
 /*
  * Interdit la variable $cjpeg_command, qui était utilisée sans
@@ -266,11 +270,13 @@ 
  * Contrôle de quelques variables (XSS)
  */
 foreach(array('lang', 'var_recherche', 'aide', 'var_lang_r', 'lang_r', 'var_ajax_ancre', 'nom_fichier') as $var) {
-	if (isset($_GET[$var]))
-		$_REQUEST[$var] = $GLOBALS[$var] = $_GET[$var] = preg_replace(',[^\w\,/#&;-]+,', ' ', (string)$_GET[$var]);
-	if (isset($_POST[$var]))
-		$_REQUEST[$var] = $GLOBALS[$var] = $_POST[$var] = preg_replace(',[^\w\,/#&;-]+,', ' ', (string)$_POST[$var]);
-}
+	if (isset($_GET[$var])) {
+			$_REQUEST[$var] = $GLOBALS[$var] = $_GET[$var] = preg_replace(',[^\w\,/#&;-]+,', ' ', (string)$_GET[$var]);
+	}
+	if (isset($_POST[$var])) {
+			$_REQUEST[$var] = $GLOBALS[$var] = $_POST[$var] = preg_replace(',[^\w\,/#&;-]+,', ' ', (string)$_POST[$var]);
+	}
+	}
 
 /*
  * Filtre l'accès à spip_acces_doc (injection SQL en 1.8.2x)
@@ -284,41 +290,49 @@ 
  */
 if (isset($_REQUEST['mode']) and isset($_REQUEST['page'])
 and !in_array($_REQUEST['mode'], array("6forum", "1comite"))
-and $_REQUEST['page'] == "identifiants")
+and $_REQUEST['page'] == "identifiants") {
 	$ecran_securite_raison = "identifiants";
+}
 
 /*
  * Agenda joue à l'injection php
  */
 if (isset($_REQUEST['partie_cal'])
-and $_REQUEST['partie_cal'] !== htmlentities((string)$_REQUEST['partie_cal']))
+and $_REQUEST['partie_cal'] !== htmlentities((string)$_REQUEST['partie_cal'])) {
 	$ecran_securite_raison = "partie_cal";
+}
 if (isset($_REQUEST['echelle'])
-and $_REQUEST['echelle'] !== htmlentities((string)$_REQUEST['echelle']))
+and $_REQUEST['echelle'] !== htmlentities((string)$_REQUEST['echelle'])) {
 	$ecran_securite_raison = "echelle";
+}
 
 /*
  * Espace privé
  */
 if (isset($_REQUEST['exec'])
-and !preg_match(',^[\w-]+$,', (string)$_REQUEST['exec']))
+and !preg_match(',^[\w-]+$,', (string)$_REQUEST['exec'])) {
 	$ecran_securite_raison = "exec";
+}
 if (isset($_REQUEST['cherche_auteur'])
-and preg_match(',[<],', (string)$_REQUEST['cherche_auteur']))
+and preg_match(',[<],', (string)$_REQUEST['cherche_auteur'])) {
 	$ecran_securite_raison = "cherche_auteur";
+}
 if (isset($_REQUEST['exec'])
 and $_REQUEST['exec'] == 'auteurs'
-and preg_match(',[<],', (string)$_REQUEST['recherche']))
+and preg_match(',[<],', (string)$_REQUEST['recherche'])) {
 	$ecran_securite_raison = "recherche";
+}
 if (isset($_REQUEST['exec'])
 and $_REQUEST['exec'] == 'info_plugin'
-and preg_match(',[<],', (string)$_REQUEST['plugin']))
+and preg_match(',[<],', (string)$_REQUEST['plugin'])) {
 	$ecran_securite_raison = "plugin";
+}
 if (isset($_REQUEST['exec'])
 and $_REQUEST['exec'] == 'puce_statut'
 and isset($_REQUEST['id'])
-and !intval($_REQUEST['id']))
+and !intval($_REQUEST['id'])) {
 	$ecran_securite_raison = "puce_statut";
+}
 if (isset($_REQUEST['action'])
 and $_REQUEST['action'] == 'configurer') {
 	if (@file_exists('inc_version.php')
@@ -343,21 +357,24 @@ 
 	@get_magic_quotes_gpc() ?
 		stripslashes(serialize($_REQUEST)) : serialize($_REQUEST),
 	chr(0)
-) !== false)
+) !== false) {
 	$ecran_securite_raison = "%00";
+}
 
 /*
  * Bloque les requêtes fond=formulaire_
  */
 if (isset($_REQUEST['fond'])
-and preg_match(',^formulaire_,i', $_REQUEST['fond']))
+and preg_match(',^formulaire_,i', $_REQUEST['fond'])) {
 	$ecran_securite_raison = "fond=formulaire_";
+}
 
 /*
  * Bloque les requêtes du type ?GLOBALS[type_urls]=toto (bug vieux php)
  */
-if (isset($_REQUEST['GLOBALS']))
+if (isset($_REQUEST['GLOBALS'])) {
 	$ecran_securite_raison = "GLOBALS[GLOBALS]";
+}
 
 /*
  * Bloque les requêtes des bots sur:
@@ -370,29 +387,34 @@ 
 		or (isset($_REQUEST['calendrier_annee']) and strpos((string)$_SERVER['REQUEST_URI'], 'debut_') )
 		or (isset($_REQUEST['calendrier_annee']) and preg_match(',[?&]calendrier_annee=.*&calendrier_annee=,', (string)$_SERVER['REQUEST_URI']))
 )
-)
+) {
 	$ecran_securite_raison = "robot agenda/double pagination";
+}
 
 /*
  * Bloque une vieille page de tests de CFG (<1.11)
  * Bloque un XSS sur une page inexistante
  */
 if (isset($_REQUEST['page'])) {
-	if ($_REQUEST['page'] == 'test_cfg')
-		$ecran_securite_raison = "test_cfg";
-	if ($_REQUEST['page'] !== htmlspecialchars((string)$_REQUEST['page']))
-		$ecran_securite_raison = "xsspage";
+	if ($_REQUEST['page'] == 'test_cfg') {
+			$ecran_securite_raison = "test_cfg";
+	}
+	if ($_REQUEST['page'] !== htmlspecialchars((string)$_REQUEST['page'])) {
+			$ecran_securite_raison = "xsspage";
+	}
 	if ($_REQUEST['page'] == '404'
-	and isset($_REQUEST['erreur']))
-		$ecran_securite_raison = "xss404";
-}
+	and isset($_REQUEST['erreur'])) {
+			$ecran_securite_raison = "xss404";
+	}
+	}
 
 /*
  * XSS par array
  */
-foreach (array('var_login') as $var)
-if (isset($_REQUEST[$var]) and is_array($_REQUEST[$var]))
+foreach (array('var_login') as $var) {
+    if (isset($_REQUEST[$var]) and is_array($_REQUEST[$var]))
 	$ecran_securite_raison = "xss ".$var;
+}
 
 /*
  * Parade antivirale contre un cheval de troie
@@ -402,18 +424,21 @@ 
 	function tmp_lkojfghx2($a = 0, $b = 0, $c = 0, $d = 0) {
 		// si jamais on est arrivé ici sur une erreur php
 		// et qu'un autre gestionnaire d'erreur est défini, l'appeller
-		if ($b && $GLOBALS['tmp_xhgfjokl'])
-			call_user_func($GLOBALS['tmp_xhgfjokl'], $a, $b, $c, $d);
+		if ($b && $GLOBALS['tmp_xhgfjokl']) {
+					call_user_func($GLOBALS['tmp_xhgfjokl'], $a, $b, $c, $d);
+		}
 	}
 }
-if (isset($_POST['tmp_lkojfghx3']))
+if (isset($_POST['tmp_lkojfghx3'])) {
 	$ecran_securite_raison = "gumblar";
+}
 
 /*
  * Outils XML mal sécurisés < 2.0.9
  */
-if (isset($_REQUEST['transformer_xml']))
+if (isset($_REQUEST['transformer_xml'])) {
 	$ecran_securite_raison = "transformer_xml";
+}
 
 /*
  * Outils XML mal sécurisés again
@@ -432,11 +457,13 @@ 
  * Sauvegarde mal securisée < 2.0.9
  */
 if (isset($_REQUEST['nom_sauvegarde'])
-and strstr((string)$_REQUEST['nom_sauvegarde'], '/'))
+and strstr((string)$_REQUEST['nom_sauvegarde'], '/')) {
 	$ecran_securite_raison = 'nom_sauvegarde manipulee';
+}
 if (isset($_REQUEST['znom_sauvegarde'])
-and strstr((string)$_REQUEST['znom_sauvegarde'], '/'))
+and strstr((string)$_REQUEST['znom_sauvegarde'], '/')) {
 	$ecran_securite_raison = 'znom_sauvegarde manipulee';
+}
 
 
 /*
@@ -444,8 +471,9 @@ 
  * on vérifie 'page' pour ne pas bloquer ... drupal
  */
 if (isset($_REQUEST['op']) and isset($_REQUEST['page'])
-and $_REQUEST['op'] !== preg_replace('/[^\-\w]/', '', $_REQUEST['op']))
+and $_REQUEST['op'] !== preg_replace('/[^\-\w]/', '', $_REQUEST['op'])) {
 	$ecran_securite_raison = 'op';
+}
 
 /*
  * Forms & Table ne se méfiait pas assez des uploads de fichiers
@@ -453,8 +481,9 @@ 
 if (count($_FILES)){
 	foreach($_FILES as $k => $v){
 		 if (preg_match(',^fichier_\d+$,', $k)
-		 and preg_match(',\.php,i', $v['name']))
-		 	unset($_FILES[$k]);
+		 and preg_match(',\.php,i', $v['name'])) {
+		 		 	unset($_FILES[$k]);
+		 }
 	}
 }
 /*
@@ -471,21 +500,24 @@ 
  * reinstall=oui un peu trop permissif
  */
 if (isset($_REQUEST['reinstall'])
-and $_REQUEST['reinstall'] == 'oui')
+and $_REQUEST['reinstall'] == 'oui') {
 	$ecran_securite_raison = 'reinstall=oui';
+}
 
 /*
  * Échappement xss referer
  */
-if (isset($_SERVER['HTTP_REFERER']))
+if (isset($_SERVER['HTTP_REFERER'])) {
 	$_SERVER['HTTP_REFERER'] = strtr($_SERVER['HTTP_REFERER'], '<>"\'', '[]##');
+}
 
 
 /*
  * Echappement HTTP_X_FORWARDED_HOST
  */
-if (isset($_SERVER['HTTP_X_FORWARDED_HOST']))
+if (isset($_SERVER['HTTP_X_FORWARDED_HOST'])) {
 	$_SERVER['HTTP_X_FORWARDED_HOST'] = strtr($_SERVER['HTTP_X_FORWARDED_HOST'], "<>?\"\{\}\$'` \r\n", '____________');
+}
 
 
 /*
@@ -493,9 +525,10 @@ 
  */
 if (strpos($_SERVER['REQUEST_URI'], "ecrire/") !== false or isset($_REQUEST['var_memotri'])){
 	$zzzz = implode("", array_keys($_REQUEST));
-	if (strlen($zzzz) != strcspn($zzzz, '<>"\''))
-		$ecran_securite_raison = 'Cle incorrecte en $_REQUEST';
-}
+	if (strlen($zzzz) != strcspn($zzzz, '<>"\'')) {
+			$ecran_securite_raison = 'Cle incorrecte en $_REQUEST';
+	}
+	}
 
 /*
  * Injection par connect
@@ -544,8 +577,9 @@ 
 /*
  * Bloque les bots quand le load déborde
  */
-if (!defined('_ECRAN_SECURITE_LOAD'))
+if (!defined('_ECRAN_SECURITE_LOAD')) {
 	define('_ECRAN_SECURITE_LOAD', 4);
+}
 
 if (
 	defined('_ECRAN_SECURITE_LOAD')

ecrire/inc/session.php

Indentation +435 added lines, -435 removed lines

@@ -19,7 +19,7 @@ 
  */
 
 if (!defined('_ECRIRE_INC_VERSION')) {
-	return;
+    return;
 }
 
 
@@ -40,15 +40,15 @@ 
  * @return bool|null|void
  */
 function inc_session_dist($auteur = false) {
-	if (is_numeric($auteur)) {
-		return supprimer_sessions($auteur, $auteur > 0);
-	} else {
-		if (is_array($auteur)) {
-			return ajouter_session($auteur);
-		} else {
-			return verifier_session($auteur);
-		}
-	}
+    if (is_numeric($auteur)) {
+        return supprimer_sessions($auteur, $auteur > 0);
+    } else {
+        if (is_array($auteur)) {
+            return ajouter_session($auteur);
+        } else {
+            return verifier_session($auteur);
+        }
+    }
 }
 
 
@@ -77,26 +77,26 @@ 
  */
 function supprimer_sessions($id_auteur, $toutes = true, $actives = true) {
 
-	spip_log("supprimer sessions auteur $id_auteur", "session");
-	if ($toutes or $id_auteur !== $GLOBALS['visiteur_session']['id_auteur']) {
-		if ($dir = opendir(_DIR_SESSIONS)) {
-			$t = time() - (4 * _RENOUVELLE_ALEA);
-			while (($f = readdir($dir)) !== false) {
-				if (preg_match(",^[^\d-]*(-?\d+)_\w{32}\.php[3]?$,", $f, $regs)) {
-					$f = _DIR_SESSIONS . $f;
-					if (($actives and $regs[1] == $id_auteur) or ($t > filemtime($f))) {
-						spip_unlink($f);
-					}
-				}
-			}
-		}
-	} else {
-		verifier_session();
-		spip_unlink(fichier_session('alea_ephemere', true));
-	}
-
-	// forcer le recalcul de la session courante
-	spip_session(true);
+    spip_log("supprimer sessions auteur $id_auteur", "session");
+    if ($toutes or $id_auteur !== $GLOBALS['visiteur_session']['id_auteur']) {
+        if ($dir = opendir(_DIR_SESSIONS)) {
+            $t = time() - (4 * _RENOUVELLE_ALEA);
+            while (($f = readdir($dir)) !== false) {
+                if (preg_match(",^[^\d-]*(-?\d+)_\w{32}\.php[3]?$,", $f, $regs)) {
+                    $f = _DIR_SESSIONS . $f;
+                    if (($actives and $regs[1] == $id_auteur) or ($t > filemtime($f))) {
+                        spip_unlink($f);
+                    }
+                }
+            }
+        }
+    } else {
+        verifier_session();
+        spip_unlink(fichier_session('alea_ephemere', true));
+    }
+
+    // forcer le recalcul de la session courante
+    spip_session(true);
 }
 
 /**
@@ -114,116 +114,116 @@ 
  * @return bool|string
  */
 function ajouter_session($auteur) {
-	// Si le client a deja une session valide pour son id_auteur
-	// on conserve le meme fichier
-
-	// Attention un visiteur peut avoir une session et un id=0,
-	// => ne pas melanger les sessions des differents visiteurs
-	$id_auteur = isset($auteur['id_auteur']) ? intval($auteur['id_auteur']) : 0;
-
-	// Si ce n'est pas un inscrit (les inscrits ont toujours des choses en session)
-	// on va vérifier s'il y a vraiment des choses à écrire
-	if (!$id_auteur) {
-		// On supprime les données de base pour voir le contenu réel de la session
-		$auteur_verif = $auteur;
-		if (isset($auteur_verif['id_auteur'])) {
-			unset($auteur_verif['id_auteur']);
-		}
-		if (isset($auteur_verif['hash_env'])) {
-			unset($auteur_verif['hash_env']);
-		}
-		if (isset($auteur_verif['ip_change'])) {
-			unset($auteur_verif['ip_change']);
-		}
-		if (isset($auteur_verif['date_session'])) {
-			unset($auteur_verif['date_session']);
-		}
-
-		// Les variables vraiment nulle ne sont pas à prendre en compte non plus
-		foreach ($auteur_verif as $variable => $valeur) {
-			if ($valeur === null) {
-				unset($auteur_verif[$variable]);
-			}
-		}
-
-		// Si après ça la session est vide alors on supprime l'éventuel fichier et on arrête là
-		if (!$auteur_verif) {
-			if (isset($_COOKIE['spip_session']) and isset($_SESSION[$_COOKIE['spip_session']])) {
-				unset($_SESSION[$_COOKIE['spip_session']]);
-			}
-			if (isset($_COOKIE['spip_session'])) {
-				unset($_COOKIE['spip_session']);
-			}
-
-			return false;
-		}
-	}
-
-	if (!isset($_COOKIE['spip_session'])
-		or !preg_match(',^' . $id_auteur . '_,', $_COOKIE['spip_session'])
-	) {
-		$_COOKIE['spip_session'] = $id_auteur . '_' . md5(uniqid(rand(), true));
-	}
-
-	// Maintenant on sait qu'on a des choses à écrire
-	// On s'assure d'avoir au moins ces valeurs
-	$auteur['id_auteur'] = $id_auteur;
-	if (!isset($auteur['hash_env'])) {
-		$auteur['hash_env'] = hash_env();
-	}
-	if (!isset($auteur['ip_change'])) {
-		$auteur['ip_change'] = false;
-	}
-
-	if (!isset($auteur['date_session'])) {
-		$auteur['date_session'] = time();
-	}
-	if (isset($auteur['prefs'])
-		and is_string($auteur['prefs'])
-	  and $prefs = @unserialize($auteur['prefs'])) {
-		$auteur['prefs'] = $prefs;
-	}
-
-	$fichier_session = "";
-
-	// les sessions anonymes sont stockees dans $_SESSION
-	if (!$id_auteur) {
-		spip_php_session_start();
-		$_SESSION[$_COOKIE['spip_session']] = preparer_ecriture_session($auteur);
-	} else {
-		$fichier_session = fichier_session('alea_ephemere');
-		if (!ecrire_fichier_session($fichier_session, $auteur)) {
-			spip_log('Echec ecriture fichier session ' . $fichier_session, "session" . _LOG_HS);
-			include_spip('inc/minipres');
-			echo minipres();
-			exit;
-		}
-		// verifier et limiter le nombre maxi de sessions
-		// https://core.spip.net/issues/3807
-		lister_sessions_auteur($id_auteur);
-	}
-
-	// poser le cookie de session SPIP
-	include_spip('inc/cookie');
-	$duree = definir_duree_cookie_session($auteur);
-	spip_setcookie( 'spip_session', $_COOKIE['spip_session'], time() + $duree);
-	spip_log("ajoute session $fichier_session cookie $duree", "session");
-
-	// Si on est admin, poser le cookie de correspondance
-	if (!function_exists('autoriser')) {
-		include_spip('inc/autoriser');
-	}
-	if (autoriser('ecrire','','',$auteur) and _DUREE_COOKIE_ADMIN) {
-		spip_setcookie('spip_admin', '@' . $auteur['login'], time() + max(_DUREE_COOKIE_ADMIN, $duree));
-	} // sinon le supprimer ...
-	else {
-		spip_setcookie('spip_admin', '', 1);
-	}
-
-	# on en profite pour purger les vieilles sessions anonymes abandonnees
-	# supprimer_sessions(0, true, false);
-
-	return $_COOKIE['spip_session'];
+    // Si le client a deja une session valide pour son id_auteur
+    // on conserve le meme fichier
+
+    // Attention un visiteur peut avoir une session et un id=0,
+    // => ne pas melanger les sessions des differents visiteurs
+    $id_auteur = isset($auteur['id_auteur']) ? intval($auteur['id_auteur']) : 0;
+
+    // Si ce n'est pas un inscrit (les inscrits ont toujours des choses en session)
+    // on va vérifier s'il y a vraiment des choses à écrire
+    if (!$id_auteur) {
+        // On supprime les données de base pour voir le contenu réel de la session
+        $auteur_verif = $auteur;
+        if (isset($auteur_verif['id_auteur'])) {
+            unset($auteur_verif['id_auteur']);
+        }
+        if (isset($auteur_verif['hash_env'])) {
+            unset($auteur_verif['hash_env']);
+        }
+        if (isset($auteur_verif['ip_change'])) {
+            unset($auteur_verif['ip_change']);
+        }
+        if (isset($auteur_verif['date_session'])) {
+            unset($auteur_verif['date_session']);
+        }
+
+        // Les variables vraiment nulle ne sont pas à prendre en compte non plus
+        foreach ($auteur_verif as $variable => $valeur) {
+            if ($valeur === null) {
+                unset($auteur_verif[$variable]);
+            }
+        }
+
+        // Si après ça la session est vide alors on supprime l'éventuel fichier et on arrête là
+        if (!$auteur_verif) {
+            if (isset($_COOKIE['spip_session']) and isset($_SESSION[$_COOKIE['spip_session']])) {
+                unset($_SESSION[$_COOKIE['spip_session']]);
+            }
+            if (isset($_COOKIE['spip_session'])) {
+                unset($_COOKIE['spip_session']);
+            }
+
+            return false;
+        }
+    }
+
+    if (!isset($_COOKIE['spip_session'])
+        or !preg_match(',^' . $id_auteur . '_,', $_COOKIE['spip_session'])
+    ) {
+        $_COOKIE['spip_session'] = $id_auteur . '_' . md5(uniqid(rand(), true));
+    }
+
+    // Maintenant on sait qu'on a des choses à écrire
+    // On s'assure d'avoir au moins ces valeurs
+    $auteur['id_auteur'] = $id_auteur;
+    if (!isset($auteur['hash_env'])) {
+        $auteur['hash_env'] = hash_env();
+    }
+    if (!isset($auteur['ip_change'])) {
+        $auteur['ip_change'] = false;
+    }
+
+    if (!isset($auteur['date_session'])) {
+        $auteur['date_session'] = time();
+    }
+    if (isset($auteur['prefs'])
+        and is_string($auteur['prefs'])
+      and $prefs = @unserialize($auteur['prefs'])) {
+        $auteur['prefs'] = $prefs;
+    }
+
+    $fichier_session = "";
+
+    // les sessions anonymes sont stockees dans $_SESSION
+    if (!$id_auteur) {
+        spip_php_session_start();
+        $_SESSION[$_COOKIE['spip_session']] = preparer_ecriture_session($auteur);
+    } else {
+        $fichier_session = fichier_session('alea_ephemere');
+        if (!ecrire_fichier_session($fichier_session, $auteur)) {
+            spip_log('Echec ecriture fichier session ' . $fichier_session, "session" . _LOG_HS);
+            include_spip('inc/minipres');
+            echo minipres();
+            exit;
+        }
+        // verifier et limiter le nombre maxi de sessions
+        // https://core.spip.net/issues/3807
+        lister_sessions_auteur($id_auteur);
+    }
+
+    // poser le cookie de session SPIP
+    include_spip('inc/cookie');
+    $duree = definir_duree_cookie_session($auteur);
+    spip_setcookie( 'spip_session', $_COOKIE['spip_session'], time() + $duree);
+    spip_log("ajoute session $fichier_session cookie $duree", "session");
+
+    // Si on est admin, poser le cookie de correspondance
+    if (!function_exists('autoriser')) {
+        include_spip('inc/autoriser');
+    }
+    if (autoriser('ecrire','','',$auteur) and _DUREE_COOKIE_ADMIN) {
+        spip_setcookie('spip_admin', '@' . $auteur['login'], time() + max(_DUREE_COOKIE_ADMIN, $duree));
+    } // sinon le supprimer ...
+    else {
+        spip_setcookie('spip_admin', '', 1);
+    }
+
+    # on en profite pour purger les vieilles sessions anonymes abandonnees
+    # supprimer_sessions(0, true, false);
+
+    return $_COOKIE['spip_session'];
 }
 
 /**
@@ -243,15 +243,15 @@ 
  *     Durée en secondes
 **/
 function definir_duree_cookie_session($auteur) {
-	$coef = 2;
-	if (isset($auteur['cookie'])) {
-		if (is_numeric($auteur['cookie'])) {
-			$coef = $auteur['cookie'];
-		} else {
-			$coef = 20;
-		}
-	}
-	return (int)(_RENOUVELLE_ALEA * $coef);
+    $coef = 2;
+    if (isset($auteur['cookie'])) {
+        if (is_numeric($auteur['cookie'])) {
+            $coef = $auteur['cookie'];
+        } else {
+            $coef = 20;
+        }
+    }
+    return (int)(_RENOUVELLE_ALEA * $coef);
 }
 
 /**
@@ -271,90 +271,90 @@ 
  * @return bool|int|null
  */
 function verifier_session($change = false) {
-	// si pas de cookie, c'est fichu
-	if (!isset($_COOKIE['spip_session'])) {
-		return false;
-	}
-
-	$fichier_session = "";
-
-	// est-ce une session anonyme ?
-	if (!intval($_COOKIE['spip_session'])) {
-		spip_php_session_start();
-		if (!isset($_SESSION[$_COOKIE['spip_session']]) or !is_array($_SESSION[$_COOKIE['spip_session']])) {
-			return false;
-		}
-		$GLOBALS['visiteur_session'] = $_SESSION[$_COOKIE['spip_session']];
-	} else {
-		// Tester avec alea courant
-		$fichier_session = fichier_session('alea_ephemere', true);
-		if ($fichier_session and @file_exists($fichier_session)) {
-			include($fichier_session);
-		} else {
-			// Sinon, tester avec alea precedent
-			$fichier_session = fichier_session('alea_ephemere_ancien', true);
-			if (!$fichier_session or !@file_exists($fichier_session)) {
-				return false;
-			}
-
-			// Renouveler la session avec l'alea courant
-			include($fichier_session);
-			spip_log('renouvelle session ' . $GLOBALS['visiteur_session']['id_auteur'], "session");
-			spip_unlink($fichier_session);
-			ajouter_session($GLOBALS['visiteur_session']);
-		}
-	}
-
-	// Compatibilite ascendante : auteur_session est visiteur_session si
-	// c'est un auteur SPIP authentifie (tandis qu'un visiteur_session peut
-	// n'etre qu'identifie, sans aucune authentification).
-
-	if (isset($GLOBALS['visiteur_session']['id_auteur']) and $GLOBALS['visiteur_session']['id_auteur']) {
-		$GLOBALS['auteur_session'] = &$GLOBALS['visiteur_session'];
-	}
-
-
-	// Si l'adresse IP change, inc/presentation mettra une balise image
-	// avec un URL de rappel demandant a changer le nom de la session.
-	// Seul celui qui a l'IP d'origine est rejoue
-	// ainsi un eventuel voleur de cookie ne pourrait pas deconnecter
-	// sa victime, mais se ferait deconnecter par elle.
-	if (hash_env() != $GLOBALS['visiteur_session']['hash_env']) {
-		if (!$GLOBALS['visiteur_session']['ip_change']) {
-			define('_SESSION_REJOUER', true);
-			$GLOBALS['visiteur_session']['ip_change'] = true;
-			ajouter_session($GLOBALS['visiteur_session']);
-		} else {
-			if ($change) {
-				spip_log("session non rejouee, vol de cookie ?", "session");
-			}
-		}
-	} else {
-		if ($change) {
-			spip_log("rejoue session $fichier_session " . $_COOKIE['spip_session'], "session");
-			if ($fichier_session) {
-				spip_unlink($fichier_session);
-			}
-			$GLOBALS['visiteur_session']['ip_change'] = false;
-			unset($_COOKIE['spip_session']);
-			ajouter_session($GLOBALS['visiteur_session']);
-		}
-	}
-
-	// Si la session a ete initiee il y a trop longtemps, elle est annulee
-	if (isset($GLOBALS['visiteur_session'])
-		and defined('_AGE_SESSION_MAX')
-		and _AGE_SESSION_MAX > 0
-		and time() - @$GLOBALS['visiteur_session']['date_session'] > _AGE_SESSION_MAX
-	) {
-		unset($GLOBALS['visiteur_session']);
-
-		return false;
-	}
-
-	return is_numeric($GLOBALS['visiteur_session']['id_auteur'])
-		? $GLOBALS['visiteur_session']['id_auteur']
-		: null;
+    // si pas de cookie, c'est fichu
+    if (!isset($_COOKIE['spip_session'])) {
+        return false;
+    }
+
+    $fichier_session = "";
+
+    // est-ce une session anonyme ?
+    if (!intval($_COOKIE['spip_session'])) {
+        spip_php_session_start();
+        if (!isset($_SESSION[$_COOKIE['spip_session']]) or !is_array($_SESSION[$_COOKIE['spip_session']])) {
+            return false;
+        }
+        $GLOBALS['visiteur_session'] = $_SESSION[$_COOKIE['spip_session']];
+    } else {
+        // Tester avec alea courant
+        $fichier_session = fichier_session('alea_ephemere', true);
+        if ($fichier_session and @file_exists($fichier_session)) {
+            include($fichier_session);
+        } else {
+            // Sinon, tester avec alea precedent
+            $fichier_session = fichier_session('alea_ephemere_ancien', true);
+            if (!$fichier_session or !@file_exists($fichier_session)) {
+                return false;
+            }
+
+            // Renouveler la session avec l'alea courant
+            include($fichier_session);
+            spip_log('renouvelle session ' . $GLOBALS['visiteur_session']['id_auteur'], "session");
+            spip_unlink($fichier_session);
+            ajouter_session($GLOBALS['visiteur_session']);
+        }
+    }
+
+    // Compatibilite ascendante : auteur_session est visiteur_session si
+    // c'est un auteur SPIP authentifie (tandis qu'un visiteur_session peut
+    // n'etre qu'identifie, sans aucune authentification).
+
+    if (isset($GLOBALS['visiteur_session']['id_auteur']) and $GLOBALS['visiteur_session']['id_auteur']) {
+        $GLOBALS['auteur_session'] = &$GLOBALS['visiteur_session'];
+    }
+
+
+    // Si l'adresse IP change, inc/presentation mettra une balise image
+    // avec un URL de rappel demandant a changer le nom de la session.
+    // Seul celui qui a l'IP d'origine est rejoue
+    // ainsi un eventuel voleur de cookie ne pourrait pas deconnecter
+    // sa victime, mais se ferait deconnecter par elle.
+    if (hash_env() != $GLOBALS['visiteur_session']['hash_env']) {
+        if (!$GLOBALS['visiteur_session']['ip_change']) {
+            define('_SESSION_REJOUER', true);
+            $GLOBALS['visiteur_session']['ip_change'] = true;
+            ajouter_session($GLOBALS['visiteur_session']);
+        } else {
+            if ($change) {
+                spip_log("session non rejouee, vol de cookie ?", "session");
+            }
+        }
+    } else {
+        if ($change) {
+            spip_log("rejoue session $fichier_session " . $_COOKIE['spip_session'], "session");
+            if ($fichier_session) {
+                spip_unlink($fichier_session);
+            }
+            $GLOBALS['visiteur_session']['ip_change'] = false;
+            unset($_COOKIE['spip_session']);
+            ajouter_session($GLOBALS['visiteur_session']);
+        }
+    }
+
+    // Si la session a ete initiee il y a trop longtemps, elle est annulee
+    if (isset($GLOBALS['visiteur_session'])
+        and defined('_AGE_SESSION_MAX')
+        and _AGE_SESSION_MAX > 0
+        and time() - @$GLOBALS['visiteur_session']['date_session'] > _AGE_SESSION_MAX
+    ) {
+        unset($GLOBALS['visiteur_session']);
+
+        return false;
+    }
+
+    return is_numeric($GLOBALS['visiteur_session']['id_auteur'])
+        ? $GLOBALS['visiteur_session']['id_auteur']
+        : null;
 }
 
 /**
@@ -369,7 +369,7 @@ 
  *     Valeur, si trouvée, `null` sinon.
  */
 function session_get($nom) {
-	return isset($GLOBALS['visiteur_session'][$nom]) ? $GLOBALS['visiteur_session'][$nom] : null;
+    return isset($GLOBALS['visiteur_session'][$nom]) ? $GLOBALS['visiteur_session'][$nom] : null;
 }
 
 
@@ -385,32 +385,32 @@ 
  * @return void|array
  */
 function session_set($nom, $val = null) {
-	static $remove = array();
-	static $actualiser_sessions = false;
-	if ($nom === false) {
-		return $remove;
-	}
-	if (is_null($val)) {
-		// rien a faire
-		if (!isset($GLOBALS['visiteur_session'][$nom])) {
-			return;
-		}
-		unset($GLOBALS['visiteur_session'][$nom]);
-		$remove[] = $nom;
-	} else {
-		// On ajoute la valeur dans la globale
-		$GLOBALS['visiteur_session'][$nom] = $val;
-		if ($remove) {
-			$remove = array_diff($remove, array($nom));
-		}
-	}
-	if (!$actualiser_sessions) {
-		// il faut creer la session si on en a pas, la premiere fois
-		ajouter_session($GLOBALS['visiteur_session']);
-		// in register la fonction qui mettra a jour toutes les sessions en fin de hit
-		register_shutdown_function('terminer_actualiser_sessions');
-		$actualiser_sessions = true;
-	}
+    static $remove = array();
+    static $actualiser_sessions = false;
+    if ($nom === false) {
+        return $remove;
+    }
+    if (is_null($val)) {
+        // rien a faire
+        if (!isset($GLOBALS['visiteur_session'][$nom])) {
+            return;
+        }
+        unset($GLOBALS['visiteur_session'][$nom]);
+        $remove[] = $nom;
+    } else {
+        // On ajoute la valeur dans la globale
+        $GLOBALS['visiteur_session'][$nom] = $val;
+        if ($remove) {
+            $remove = array_diff($remove, array($nom));
+        }
+    }
+    if (!$actualiser_sessions) {
+        // il faut creer la session si on en a pas, la premiere fois
+        ajouter_session($GLOBALS['visiteur_session']);
+        // in register la fonction qui mettra a jour toutes les sessions en fin de hit
+        register_shutdown_function('terminer_actualiser_sessions');
+        $actualiser_sessions = true;
+    }
 }
 
 /**
@@ -419,12 +419,12 @@ 
  * @uses actualiser_sessions()
  */
 function terminer_actualiser_sessions() {
-	// se remettre dans le dossier de travail au cas ou Apache a change
-	chdir(_ROOT_CWD);
-	// recuperer les variables a effacer
-	$remove = session_set(false);
-	// mettre a jour toutes les sessions
-	actualiser_sessions($GLOBALS['visiteur_session'], $remove);
+    // se remettre dans le dossier de travail au cas ou Apache a change
+    chdir(_ROOT_CWD);
+    // recuperer les variables a effacer
+    $remove = session_set(false);
+    // mettre a jour toutes les sessions
+    actualiser_sessions($GLOBALS['visiteur_session'], $remove);
 }
 
 
@@ -449,78 +449,78 @@ 
  */
 function actualiser_sessions($auteur, $supprimer_cles = array()) {
 
-	$id_auteur = isset($auteur['id_auteur']) ? intval($auteur['id_auteur']) : 0;
-	$id_auteur_courant = isset($GLOBALS['visiteur_session']['id_auteur']) ? intval($GLOBALS['visiteur_session']['id_auteur']) : 0;
-
-	// si l'auteur est celui de la session courante, verifier/creer la session si besoin
-	$fichier_session_courante = "";
-	if ($id_auteur == $id_auteur_courant) {
-		$auteur = array_merge($GLOBALS['visiteur_session'], $auteur);
-		ajouter_session($auteur);
-		if ($id_auteur) {
-			$fichier_session_courante = fichier_session('alea_ephemere');
-		}
-	}
-
-	// si session anonyme on ne fait rien d'autre ici : les sessions anonymes sont non partagees
-	if (!$id_auteur) {
-		return;
-	}
-
-	// les préférences sont désérialisées, toujours.
-	if (isset($auteur['prefs']) and is_string($auteur['prefs'])) {
-		$auteur['prefs'] = unserialize($auteur['prefs']);
-	}
-
-	// memoriser l'auteur courant (celui qui modifie la fiche)
-	$sauve = $GLOBALS['visiteur_session'];
-
-	// .. mettre a jour les sessions de l'auteur cible
-	// attention au $ final pour ne pas risquer d'embarquer un .php.jeton temporaire
-	// cree par une ecriture concurente d'une session (fichier atomique temporaire)
-	$sessions = lister_sessions_auteur($id_auteur);
-
-	// 1ere passe : lire et fusionner les sessions
-	foreach ($sessions as $session) {
-		$GLOBALS['visiteur_session'] = array();
-		// a pu etre supprime entre le preg initial et le moment ou l'on arrive la (concurrence)
-		if ($session !== $fichier_session_courante
-			and @file_exists($session)
-		) {
-			include $session; # $GLOBALS['visiteur_session'] est alors l'auteur cible
-
-			$auteur = array_merge($GLOBALS['visiteur_session'], $auteur);
-		}
-	}
-
-	// supprimer les eventuelles cles dont on ne veut plus
-	foreach ($supprimer_cles as $cle) {
-		unset($auteur[$cle]);
-	}
-
-	$auteur_session = preparer_ecriture_session($auteur);
-
-	// seconde passe : ecrire les sessions qui ne sont pas a jour
-	foreach ($sessions as $session) {
-		$GLOBALS['visiteur_session'] = array();
-		// a pu etre supprime entre le preg initial et le moment ou l'on arrive la (concurrence)
-		if (@file_exists($session)) {
-			include $session; # $GLOBALS['visiteur_session'] est alors l'auteur cible
-
-			// est-ce que cette session est a mettre a jour ?
-			if ($auteur_session != $GLOBALS['visiteur_session']) {
-				ecrire_fichier_session($session, $auteur);
-			}
-		}
-	}
-
-	if ($id_auteur == $id_auteur_courant) {
-		$GLOBALS['visiteur_session'] = $auteur;
-		$GLOBALS['auteur_session'] = &$GLOBALS['visiteur_session'];
-	} else {
-		// restaurer l'auteur courant
-		$GLOBALS['visiteur_session'] = $sauve;
-	}
+    $id_auteur = isset($auteur['id_auteur']) ? intval($auteur['id_auteur']) : 0;
+    $id_auteur_courant = isset($GLOBALS['visiteur_session']['id_auteur']) ? intval($GLOBALS['visiteur_session']['id_auteur']) : 0;
+
+    // si l'auteur est celui de la session courante, verifier/creer la session si besoin
+    $fichier_session_courante = "";
+    if ($id_auteur == $id_auteur_courant) {
+        $auteur = array_merge($GLOBALS['visiteur_session'], $auteur);
+        ajouter_session($auteur);
+        if ($id_auteur) {
+            $fichier_session_courante = fichier_session('alea_ephemere');
+        }
+    }
+
+    // si session anonyme on ne fait rien d'autre ici : les sessions anonymes sont non partagees
+    if (!$id_auteur) {
+        return;
+    }
+
+    // les préférences sont désérialisées, toujours.
+    if (isset($auteur['prefs']) and is_string($auteur['prefs'])) {
+        $auteur['prefs'] = unserialize($auteur['prefs']);
+    }
+
+    // memoriser l'auteur courant (celui qui modifie la fiche)
+    $sauve = $GLOBALS['visiteur_session'];
+
+    // .. mettre a jour les sessions de l'auteur cible
+    // attention au $ final pour ne pas risquer d'embarquer un .php.jeton temporaire
+    // cree par une ecriture concurente d'une session (fichier atomique temporaire)
+    $sessions = lister_sessions_auteur($id_auteur);
+
+    // 1ere passe : lire et fusionner les sessions
+    foreach ($sessions as $session) {
+        $GLOBALS['visiteur_session'] = array();
+        // a pu etre supprime entre le preg initial et le moment ou l'on arrive la (concurrence)
+        if ($session !== $fichier_session_courante
+            and @file_exists($session)
+        ) {
+            include $session; # $GLOBALS['visiteur_session'] est alors l'auteur cible
+
+            $auteur = array_merge($GLOBALS['visiteur_session'], $auteur);
+        }
+    }
+
+    // supprimer les eventuelles cles dont on ne veut plus
+    foreach ($supprimer_cles as $cle) {
+        unset($auteur[$cle]);
+    }
+
+    $auteur_session = preparer_ecriture_session($auteur);
+
+    // seconde passe : ecrire les sessions qui ne sont pas a jour
+    foreach ($sessions as $session) {
+        $GLOBALS['visiteur_session'] = array();
+        // a pu etre supprime entre le preg initial et le moment ou l'on arrive la (concurrence)
+        if (@file_exists($session)) {
+            include $session; # $GLOBALS['visiteur_session'] est alors l'auteur cible
+
+            // est-ce que cette session est a mettre a jour ?
+            if ($auteur_session != $GLOBALS['visiteur_session']) {
+                ecrire_fichier_session($session, $auteur);
+            }
+        }
+    }
+
+    if ($id_auteur == $id_auteur_courant) {
+        $GLOBALS['visiteur_session'] = $auteur;
+        $GLOBALS['auteur_session'] = &$GLOBALS['visiteur_session'];
+    } else {
+        // restaurer l'auteur courant
+        $GLOBALS['visiteur_session'] = $sauve;
+    }
 
 }
 
@@ -535,46 +535,46 @@ 
  */
 function lister_sessions_auteur($id_auteur, $nb_max = null) {
 
-	if (is_null($nb_max)) {
-		if (!defined('_NB_SESSIONS_MAX')) {
-			define('_NB_SESSIONS_MAX', 100);
-		}
-		$nb_max = _NB_SESSIONS_MAX;
-	}
-
-	// liste des sessions
-	$sessions = preg_files(_DIR_SESSIONS, '/' . $id_auteur . '_.*\.php$');
-
-	// si on en a plus que la limite, supprimer les plus vieilles
-	// si ce ne sont pas des sessions anonymes car elles sont alors chacune differentes
-	if ($id_auteur
-		and count($sessions) > $nb_max) {
-
-		// limiter le nombre de sessions ouvertes par un auteur
-		// filemtime sur les sessions
-		$sessions = array_flip($sessions);
-
-		// 1ere passe : lire les filemtime
-		foreach ($sessions as $session => $z) {
-			if ($d = @filemtime($session)
-			) {
-				$sessions[$session] = $d;
-			} else {
-				$sessions[$session] = 0;
-			}
-		}
-
-		// les plus anciennes en premier
-		asort($sessions);
-
-		$sessions = array_keys($sessions);
-		while (count($sessions) > $nb_max) {
-			$session = array_shift($sessions);
-			@unlink($session);
-		}
-	}
-
-	return $sessions;
+    if (is_null($nb_max)) {
+        if (!defined('_NB_SESSIONS_MAX')) {
+            define('_NB_SESSIONS_MAX', 100);
+        }
+        $nb_max = _NB_SESSIONS_MAX;
+    }
+
+    // liste des sessions
+    $sessions = preg_files(_DIR_SESSIONS, '/' . $id_auteur . '_.*\.php$');
+
+    // si on en a plus que la limite, supprimer les plus vieilles
+    // si ce ne sont pas des sessions anonymes car elles sont alors chacune differentes
+    if ($id_auteur
+        and count($sessions) > $nb_max) {
+
+        // limiter le nombre de sessions ouvertes par un auteur
+        // filemtime sur les sessions
+        $sessions = array_flip($sessions);
+
+        // 1ere passe : lire les filemtime
+        foreach ($sessions as $session => $z) {
+            if ($d = @filemtime($session)
+            ) {
+                $sessions[$session] = $d;
+            } else {
+                $sessions[$session] = 0;
+            }
+        }
+
+        // les plus anciennes en premier
+        asort($sessions);
+
+        $sessions = array_keys($sessions);
+        while (count($sessions) > $nb_max) {
+            $session = array_shift($sessions);
+            @unlink($session);
+        }
+    }
+
+    return $sessions;
 }
 
 
@@ -588,26 +588,26 @@ 
  * @return array
  */
 function preparer_ecriture_session($auteur) {
-	$row = $auteur;
-
-	// ne pas enregistrer ces elements de securite
-	// dans le fichier de session
-	unset($auteur['pass']);
-	unset($auteur['htpass']);
-	unset($auteur['low_sec']);
-	unset($auteur['alea_actuel']);
-	unset($auteur['alea_futur']);
-
-	$auteur = pipeline('preparer_fichier_session', array('args' => array('row' => $row), 'data' => $auteur));
-
-	// ne pas enregistrer les valeurs vraiment nulle dans le fichier
-	foreach ($auteur as $variable => $valeur) {
-		if ($valeur === null) {
-			unset($auteur[$variable]);
-		}
-	}
-
-	return $auteur;
+    $row = $auteur;
+
+    // ne pas enregistrer ces elements de securite
+    // dans le fichier de session
+    unset($auteur['pass']);
+    unset($auteur['htpass']);
+    unset($auteur['low_sec']);
+    unset($auteur['alea_actuel']);
+    unset($auteur['alea_futur']);
+
+    $auteur = pipeline('preparer_fichier_session', array('args' => array('row' => $row), 'data' => $auteur));
+
+    // ne pas enregistrer les valeurs vraiment nulle dans le fichier
+    foreach ($auteur as $variable => $valeur) {
+        if ($valeur === null) {
+            unset($auteur[$variable]);
+        }
+    }
+
+    return $auteur;
 }
 
 /**
@@ -619,17 +619,17 @@ 
  */
 function ecrire_fichier_session($fichier, $auteur) {
 
-	$auteur = preparer_ecriture_session($auteur);
+    $auteur = preparer_ecriture_session($auteur);
 
-	// enregistrer les autres donnees du visiteur
-	$texte = "<" . "?php\n";
-	foreach ($auteur as $var => $val) {
-		$texte .= '$GLOBALS[\'visiteur_session\'][' . var_export($var, true) . '] = '
-			. var_export($val, true) . ";\n";
-	}
-	$texte .= "?" . ">\n";
+    // enregistrer les autres donnees du visiteur
+    $texte = "<" . "?php\n";
+    foreach ($auteur as $var => $val) {
+        $texte .= '$GLOBALS[\'visiteur_session\'][' . var_export($var, true) . '] = '
+            . var_export($val, true) . ";\n";
+    }
+    $texte .= "?" . ">\n";
 
-	return ecrire_fichier($fichier, $texte);
+    return ecrire_fichier($fichier, $texte);
 }
 
 
@@ -642,23 +642,23 @@ 
  */
 function fichier_session($alea, $tantpis = false) {
 
-	include_spip('inc/acces');
-	charger_aleas();
+    include_spip('inc/acces');
+    charger_aleas();
 
-	if (empty($GLOBALS['meta'][$alea])) {
-		if (!$tantpis) {
-			spip_log("fichier session ($tantpis): $alea indisponible", "session");
-			include_spip('inc/minipres');
-			echo minipres();
-		}
+    if (empty($GLOBALS['meta'][$alea])) {
+        if (!$tantpis) {
+            spip_log("fichier session ($tantpis): $alea indisponible", "session");
+            include_spip('inc/minipres');
+            echo minipres();
+        }
 
-		return ''; // echec mais $tanpis
-	} else {
-		$repertoire = sous_repertoire(_DIR_SESSIONS, '', false, $tantpis);
-		$c = $_COOKIE['spip_session'];
+        return ''; // echec mais $tanpis
+    } else {
+        $repertoire = sous_repertoire(_DIR_SESSIONS, '', false, $tantpis);
+        $c = $_COOKIE['spip_session'];
 
-		return $repertoire . intval($c) . '_' . md5($c . ' ' . $GLOBALS['meta'][$alea]) . '.php';
-	}
+        return $repertoire . intval($c) . '_' . md5($c . ' ' . $GLOBALS['meta'][$alea]) . '.php';
+    }
 }
 
 
@@ -675,7 +675,7 @@ 
  * @return string
  */
 function rejouer_session() {
-	return '<img src="' . generer_url_action('cookie', 'change_session=oui', true) . '" width="0" height="0" alt="" />';
+    return '<img src="' . generer_url_action('cookie', 'change_session=oui', true) . '" width="0" height="0" alt="" />';
 }
 
 
@@ -685,12 +685,12 @@ 
  * @return string
  */
 function hash_env() {
-	static $res = '';
-	if ($res) {
-		return $res;
-	}
+    static $res = '';
+    if ($res) {
+        return $res;
+    }
 
-	return $res = md5($GLOBALS['ip'] . (isset($_SERVER['HTTP_USER_AGENT']) ? $_SERVER['HTTP_USER_AGENT'] : ''));
+    return $res = md5($GLOBALS['ip'] . (isset($_SERVER['HTTP_USER_AGENT']) ? $_SERVER['HTTP_USER_AGENT'] : ''));
 }
 
 
@@ -702,11 +702,11 @@ 
  * @return bool True si une session PHP est ouverte.
  **/
 function spip_php_session_start() {
-	if (!is_php_session_started()) {
-		return session_start();
-	}
+    if (!is_php_session_started()) {
+        return session_start();
+    }
 
-	return true;
+    return true;
 }
 
 /**
@@ -716,9 +716,9 @@ 
  * @return bool true si une session PHP est active
  **/
 function is_php_session_started() {
-	if (php_sapi_name() !== 'cli') {
-		return session_status() === PHP_SESSION_ACTIVE ? true : false;
-	}
+    if (php_sapi_name() !== 'cli') {
+        return session_status() === PHP_SESSION_ACTIVE ? true : false;
+    }
 
-	return false;
+    return false;
 }

Spacing +18 added lines, -18 removed lines

@@ -83,7 +83,7 @@ 
 			$t = time() - (4 * _RENOUVELLE_ALEA);
 			while (($f = readdir($dir)) !== false) {
 				if (preg_match(",^[^\d-]*(-?\d+)_\w{32}\.php[3]?$,", $f, $regs)) {
-					$f = _DIR_SESSIONS . $f;
+					$f = _DIR_SESSIONS.$f;
 					if (($actives and $regs[1] == $id_auteur) or ($t > filemtime($f))) {
 						spip_unlink($f);
 					}
@@ -160,9 +160,9 @@ 
 	}
 
 	if (!isset($_COOKIE['spip_session'])
-		or !preg_match(',^' . $id_auteur . '_,', $_COOKIE['spip_session'])
+		or !preg_match(',^'.$id_auteur.'_,', $_COOKIE['spip_session'])
 	) {
-		$_COOKIE['spip_session'] = $id_auteur . '_' . md5(uniqid(rand(), true));
+		$_COOKIE['spip_session'] = $id_auteur.'_'.md5(uniqid(rand(), true));
 	}
 
 	// Maintenant on sait qu'on a des choses à écrire
@@ -193,7 +193,7 @@ 
 	} else {
 		$fichier_session = fichier_session('alea_ephemere');
 		if (!ecrire_fichier_session($fichier_session, $auteur)) {
-			spip_log('Echec ecriture fichier session ' . $fichier_session, "session" . _LOG_HS);
+			spip_log('Echec ecriture fichier session '.$fichier_session, "session"._LOG_HS);
 			include_spip('inc/minipres');
 			echo minipres();
 			exit;
@@ -206,15 +206,15 @@ 
 	// poser le cookie de session SPIP
 	include_spip('inc/cookie');
 	$duree = definir_duree_cookie_session($auteur);
-	spip_setcookie( 'spip_session', $_COOKIE['spip_session'], time() + $duree);
+	spip_setcookie('spip_session', $_COOKIE['spip_session'], time() + $duree);
 	spip_log("ajoute session $fichier_session cookie $duree", "session");
 
 	// Si on est admin, poser le cookie de correspondance
 	if (!function_exists('autoriser')) {
 		include_spip('inc/autoriser');
 	}
-	if (autoriser('ecrire','','',$auteur) and _DUREE_COOKIE_ADMIN) {
-		spip_setcookie('spip_admin', '@' . $auteur['login'], time() + max(_DUREE_COOKIE_ADMIN, $duree));
+	if (autoriser('ecrire', '', '', $auteur) and _DUREE_COOKIE_ADMIN) {
+		spip_setcookie('spip_admin', '@'.$auteur['login'], time() + max(_DUREE_COOKIE_ADMIN, $duree));
 	} // sinon le supprimer ...
 	else {
 		spip_setcookie('spip_admin', '', 1);
@@ -251,7 +251,7 @@ 
 			$coef = 20;
 		}
 	}
-	return (int)(_RENOUVELLE_ALEA * $coef);
+	return (int) (_RENOUVELLE_ALEA * $coef);
 }
 
 /**
@@ -299,7 +299,7 @@ 
 
 			// Renouveler la session avec l'alea courant
 			include($fichier_session);
-			spip_log('renouvelle session ' . $GLOBALS['visiteur_session']['id_auteur'], "session");
+			spip_log('renouvelle session '.$GLOBALS['visiteur_session']['id_auteur'], "session");
 			spip_unlink($fichier_session);
 			ajouter_session($GLOBALS['visiteur_session']);
 		}
@@ -331,7 +331,7 @@ 
 		}
 	} else {
 		if ($change) {
-			spip_log("rejoue session $fichier_session " . $_COOKIE['spip_session'], "session");
+			spip_log("rejoue session $fichier_session ".$_COOKIE['spip_session'], "session");
 			if ($fichier_session) {
 				spip_unlink($fichier_session);
 			}
@@ -543,7 +543,7 @@ 
 	}
 
 	// liste des sessions
-	$sessions = preg_files(_DIR_SESSIONS, '/' . $id_auteur . '_.*\.php$');
+	$sessions = preg_files(_DIR_SESSIONS, '/'.$id_auteur.'_.*\.php$');
 
 	// si on en a plus que la limite, supprimer les plus vieilles
 	// si ce ne sont pas des sessions anonymes car elles sont alors chacune differentes
@@ -622,12 +622,12 @@ 
 	$auteur = preparer_ecriture_session($auteur);
 
 	// enregistrer les autres donnees du visiteur
-	$texte = "<" . "?php\n";
+	$texte = "<"."?php\n";
 	foreach ($auteur as $var => $val) {
-		$texte .= '$GLOBALS[\'visiteur_session\'][' . var_export($var, true) . '] = '
-			. var_export($val, true) . ";\n";
+		$texte .= '$GLOBALS[\'visiteur_session\']['.var_export($var, true).'] = '
+			. var_export($val, true).";\n";
 	}
-	$texte .= "?" . ">\n";
+	$texte .= "?".">\n";
 
 	return ecrire_fichier($fichier, $texte);
 }
@@ -657,7 +657,7 @@ 
 		$repertoire = sous_repertoire(_DIR_SESSIONS, '', false, $tantpis);
 		$c = $_COOKIE['spip_session'];
 
-		return $repertoire . intval($c) . '_' . md5($c . ' ' . $GLOBALS['meta'][$alea]) . '.php';
+		return $repertoire.intval($c).'_'.md5($c.' '.$GLOBALS['meta'][$alea]).'.php';
 	}
 }
 
@@ -675,7 +675,7 @@ 
  * @return string
  */
 function rejouer_session() {
-	return '<img src="' . generer_url_action('cookie', 'change_session=oui', true) . '" width="0" height="0" alt="" />';
+	return '<img src="'.generer_url_action('cookie', 'change_session=oui', true).'" width="0" height="0" alt="" />';
 }
 
 
@@ -690,7 +690,7 @@ 
 		return $res;
 	}
 
-	return $res = md5($GLOBALS['ip'] . (isset($_SERVER['HTTP_USER_AGENT']) ? $_SERVER['HTTP_USER_AGENT'] : ''));
+	return $res = md5($GLOBALS['ip'].(isset($_SERVER['HTTP_USER_AGENT']) ? $_SERVER['HTTP_USER_AGENT'] : ''));
 }
 
 

ecrire/inc_version.php

Indentation +193 added lines, -193 removed lines

@@ -17,7 +17,7 @@ 
  **/
 
 if (defined('_ECRIRE_INC_VERSION')) {
-	return;
+    return;
 }
 
 /**
@@ -36,8 +36,8 @@ 
 define('_PHP_MIN', '5.4.0');
 
 if (!defined('_DIR_RESTREINT_ABS')) {
-	/** le nom du repertoire ecrire/ */
-	define('_DIR_RESTREINT_ABS', 'ecrire/');
+    /** le nom du repertoire ecrire/ */
+    define('_DIR_RESTREINT_ABS', 'ecrire/');
 }
 
 /** Chemin relatif pour aller dans ecrire
@@ -57,8 +57,8 @@ 
 
 // Icones
 if (!defined('_NOM_IMG_PACK')) {
-	/** Nom du dossier images */
-	define('_NOM_IMG_PACK', 'images/');
+    /** Nom du dossier images */
+    define('_NOM_IMG_PACK', 'images/');
 }
 /** le chemin http (relatif) vers les images standard */
 define('_DIR_IMG_PACK', (_DIR_RACINE . 'prive/' . _NOM_IMG_PACK));
@@ -67,8 +67,8 @@ 
 define('_ROOT_IMG_PACK', dirname(dirname(__FILE__)) . '/prive/' . _NOM_IMG_PACK);
 
 if (!defined('_JAVASCRIPT')) {
-	/** Nom du repertoire des  bibliotheques JavaScript */
-	define('_JAVASCRIPT', 'javascript/');
+    /** Nom du repertoire des  bibliotheques JavaScript */
+    define('_JAVASCRIPT', 'javascript/');
 } // utilisable avec #CHEMIN et find_in_path
 /** le nom du repertoire des  bibliotheques JavaScript du prive */
 define('_DIR_JAVASCRIPT', (_DIR_RACINE . 'prive/' . _JAVASCRIPT));
@@ -78,46 +78,46 @@ 
 # mais on peut les mettre ailleurs et changer completement les noms
 
 if (!defined('_NOM_TEMPORAIRES_INACCESSIBLES')) {
-	/** Nom du repertoire des fichiers Temporaires Inaccessibles par http:// */
-	define('_NOM_TEMPORAIRES_INACCESSIBLES', "tmp/");
+    /** Nom du repertoire des fichiers Temporaires Inaccessibles par http:// */
+    define('_NOM_TEMPORAIRES_INACCESSIBLES', "tmp/");
 }
 if (!defined('_NOM_TEMPORAIRES_ACCESSIBLES')) {
-	/** Nom du repertoire des fichiers Temporaires Accessibles par http:// */
-	define('_NOM_TEMPORAIRES_ACCESSIBLES', "local/");
+    /** Nom du repertoire des fichiers Temporaires Accessibles par http:// */
+    define('_NOM_TEMPORAIRES_ACCESSIBLES', "local/");
 }
 if (!defined('_NOM_PERMANENTS_INACCESSIBLES')) {
-	/** Nom du repertoire des fichiers Permanents Inaccessibles par http:// */
-	define('_NOM_PERMANENTS_INACCESSIBLES', "config/");
+    /** Nom du repertoire des fichiers Permanents Inaccessibles par http:// */
+    define('_NOM_PERMANENTS_INACCESSIBLES', "config/");
 }
 if (!defined('_NOM_PERMANENTS_ACCESSIBLES')) {
-	/** Nom du repertoire des fichiers Permanents Accessibles par http:// */
-	define('_NOM_PERMANENTS_ACCESSIBLES', "IMG/");
+    /** Nom du repertoire des fichiers Permanents Accessibles par http:// */
+    define('_NOM_PERMANENTS_ACCESSIBLES', "IMG/");
 }
 
 
 /** Le nom du fichier de personnalisation */
 if (!defined('_NOM_CONFIG')) {
-	define('_NOM_CONFIG', 'mes_options');
+    define('_NOM_CONFIG', 'mes_options');
 }
 
 // Son emplacement absolu si on le trouve
 if (@file_exists($f = _ROOT_RACINE . _NOM_PERMANENTS_INACCESSIBLES . _NOM_CONFIG . '.php')
-	or (@file_exists($f = _ROOT_RESTREINT . _NOM_CONFIG . '.php'))
+    or (@file_exists($f = _ROOT_RESTREINT . _NOM_CONFIG . '.php'))
 ) {
-	/** Emplacement absolu du fichier d'option */
-	define('_FILE_OPTIONS', $f);
+    /** Emplacement absolu du fichier d'option */
+    define('_FILE_OPTIONS', $f);
 } else {
-	define('_FILE_OPTIONS', '');
+    define('_FILE_OPTIONS', '');
 }
 
 if (!defined('MODULES_IDIOMES')) {
-	/**
-	 * Modules par défaut pour la traduction.
-	 *
-	 * Constante utilisée par le compilateur et le décompilateur
-	 * sa valeur etant traitée par inc_traduire_dist
-	 */
-	define('MODULES_IDIOMES', 'public|spip|ecrire');
+    /**
+     * Modules par défaut pour la traduction.
+     *
+     * Constante utilisée par le compilateur et le décompilateur
+     * sa valeur etant traitée par inc_traduire_dist
+     */
+    define('MODULES_IDIOMES', 'public|spip|ecrire');
 }
 
 // *** Fin des define *** //
@@ -125,9 +125,9 @@ 
 
 // Inclure l'ecran de securite
 if (!defined('_ECRAN_SECURITE')
-	and @file_exists($f = _ROOT_RACINE . _NOM_PERMANENTS_INACCESSIBLES . 'ecran_securite.php')
+    and @file_exists($f = _ROOT_RACINE . _NOM_PERMANENTS_INACCESSIBLES . 'ecran_securite.php')
 ) {
-	include $f;
+    include $f;
 }
 
 
@@ -135,17 +135,17 @@ 
  * Détecteur de robot d'indexation
  */
 if (!defined('_IS_BOT')) {
-	define('_IS_BOT',
-		isset($_SERVER['HTTP_USER_AGENT'])
-		and preg_match(
-			// mots generiques
-			',bot|slurp|crawler|spider|webvac|yandex|'
-			// MSIE 6.0 est un botnet 99,9% du temps, on traite donc ce USER_AGENT comme un bot
-			. 'MSIE 6\.0|'
-			// UA plus cibles
-			. '80legs|accoona|AltaVista|ASPSeek|Baidu|Charlotte|EC2LinkFinder|eStyle|facebook|flipboard|hootsuite|FunWebProducts|Google|Genieo|INA dlweb|InfegyAtlas|Java VM|LiteFinder|Lycos|MetaURI|Moreover|Rambler|Scooter|ScrubbyBloglines|Yahoo|Yeti'
-			. ',i', (string)$_SERVER['HTTP_USER_AGENT'])
-	);
+    define('_IS_BOT',
+        isset($_SERVER['HTTP_USER_AGENT'])
+        and preg_match(
+            // mots generiques
+            ',bot|slurp|crawler|spider|webvac|yandex|'
+            // MSIE 6.0 est un botnet 99,9% du temps, on traite donc ce USER_AGENT comme un bot
+            . 'MSIE 6\.0|'
+            // UA plus cibles
+            . '80legs|accoona|AltaVista|ASPSeek|Baidu|Charlotte|EC2LinkFinder|eStyle|facebook|flipboard|hootsuite|FunWebProducts|Google|Genieo|INA dlweb|InfegyAtlas|Java VM|LiteFinder|Lycos|MetaURI|Moreover|Rambler|Scooter|ScrubbyBloglines|Yahoo|Yeti'
+            . ',i', (string)$_SERVER['HTTP_USER_AGENT'])
+    );
 }
 
 // *** Parametrage par defaut de SPIP ***
@@ -157,62 +157,62 @@ 
 // Ne pas les rendre indefinies.
 
 global
-	$nombre_de_logs,
-	$taille_des_logs,
-	$table_prefix,
-	$cookie_prefix,
-	$dossier_squelettes,
-	$filtrer_javascript,
-	$type_urls,
-	$debut_date_publication,
-	$ip,
-	$mysql_rappel_connexion,
-	$mysql_rappel_nom_base,
-	$test_i18n,
-	$ignore_auth_http,
-	$ignore_remote_user,
-	$derniere_modif_invalide,
-	$quota_cache,
-	$home_server,
-	$help_server,
-	$url_glossaire_externe,
-	$tex_server,
-	$traiter_math,
-	$xhtml,
-	$xml_indent,
-	$source_vignettes,
-	$formats_logos,
-	$controler_dates_rss,
-	$spip_pipeline,
-	$spip_matrice,
-	$plugins,
-	$surcharges,
-	$exceptions_des_tables,
-	$tables_principales,
-	$table_des_tables,
-	$tables_auxiliaires,
-	$table_primary,
-	$table_date,
-	$table_titre,
-	$tables_jointures,
-	$liste_des_statuts,
-	$liste_des_etats,
-	$liste_des_authentifications,
-	$spip_version_branche,
-	$spip_version_code,
-	$spip_version_base,
-	$spip_sql_version,
-	$spip_version_affichee,
-	$visiteur_session,
-	$auteur_session,
-	$connect_statut,
-	$connect_toutes_rubriques,
-	$hash_recherche,
-	$hash_recherche_strict,
-	$ldap_present,
-	$meta,
-	$connect_id_rubrique,
-	$puce;
+    $nombre_de_logs,
+    $taille_des_logs,
+    $table_prefix,
+    $cookie_prefix,
+    $dossier_squelettes,
+    $filtrer_javascript,
+    $type_urls,
+    $debut_date_publication,
+    $ip,
+    $mysql_rappel_connexion,
+    $mysql_rappel_nom_base,
+    $test_i18n,
+    $ignore_auth_http,
+    $ignore_remote_user,
+    $derniere_modif_invalide,
+    $quota_cache,
+    $home_server,
+    $help_server,
+    $url_glossaire_externe,
+    $tex_server,
+    $traiter_math,
+    $xhtml,
+    $xml_indent,
+    $source_vignettes,
+    $formats_logos,
+    $controler_dates_rss,
+    $spip_pipeline,
+    $spip_matrice,
+    $plugins,
+    $surcharges,
+    $exceptions_des_tables,
+    $tables_principales,
+    $table_des_tables,
+    $tables_auxiliaires,
+    $table_primary,
+    $table_date,
+    $table_titre,
+    $tables_jointures,
+    $liste_des_statuts,
+    $liste_des_etats,
+    $liste_des_authentifications,
+    $spip_version_branche,
+    $spip_version_code,
+    $spip_version_base,
+    $spip_sql_version,
+    $spip_version_affichee,
+    $visiteur_session,
+    $auteur_session,
+    $connect_statut,
+    $connect_toutes_rubriques,
+    $hash_recherche,
+    $hash_recherche_strict,
+    $ldap_present,
+    $meta,
+    $connect_id_rubrique,
+    $puce;
 
 # comment on logge, defaut 4 tmp/spip.log de 100k, 0 ou 0 suppriment le log
 $nombre_de_logs = 4;
@@ -267,48 +267,48 @@ 
 // Prendre en compte les entetes HTTP_X_FORWARDED_XX
 //
 if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) and $_SERVER['HTTP_X_FORWARDED_PROTO']==='https'){
-	if (empty($_SERVER['HTTP_X_FORWARDED_HOST'])) {
-		$_SERVER['HTTP_X_FORWARDED_HOST'] = $_SERVER['HTTP_HOST'];
-	}
-	if (empty($_SERVER['HTTP_X_FORWARDED_PORT'])) {
-		$_SERVER['HTTP_X_FORWARDED_PORT'] = 443;
-	}
+    if (empty($_SERVER['HTTP_X_FORWARDED_HOST'])) {
+        $_SERVER['HTTP_X_FORWARDED_HOST'] = $_SERVER['HTTP_HOST'];
+    }
+    if (empty($_SERVER['HTTP_X_FORWARDED_PORT'])) {
+        $_SERVER['HTTP_X_FORWARDED_PORT'] = 443;
+    }
 }
 if (isset($_SERVER['HTTP_X_FORWARDED_HOST'])){
-	if (isset($_SERVER['HTTP_X_FORWARDED_PORT']) and is_numeric($_SERVER['HTTP_X_FORWARDED_PORT'])){
-		$_SERVER['SERVER_PORT'] = $_SERVER['HTTP_X_FORWARDED_PORT'];
-		if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) and $_SERVER['HTTP_X_FORWARDED_PROTO']==='https'){
-			$_SERVER['HTTPS'] = 'on';
-			if (isset($_SERVER['REQUEST_SCHEME'])) {
-				$_SERVER['REQUEST_SCHEME'] = 'https';
-			}
-		}
-	}
-	$host = $_SERVER['HTTP_X_FORWARDED_HOST'];
-	if (strpos($host,',')!==false){
-		$h = explode(',',$host);
-		$host = trim(reset($h));
-	}
-	// securite sur le contenu de l'entete
-	$host = strtr($host, "<>?\"\{\}\$'` \r\n", '____________');
-	$_SERVER['HTTP_HOST'] = $host;
+    if (isset($_SERVER['HTTP_X_FORWARDED_PORT']) and is_numeric($_SERVER['HTTP_X_FORWARDED_PORT'])){
+        $_SERVER['SERVER_PORT'] = $_SERVER['HTTP_X_FORWARDED_PORT'];
+        if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) and $_SERVER['HTTP_X_FORWARDED_PROTO']==='https'){
+            $_SERVER['HTTPS'] = 'on';
+            if (isset($_SERVER['REQUEST_SCHEME'])) {
+                $_SERVER['REQUEST_SCHEME'] = 'https';
+            }
+        }
+    }
+    $host = $_SERVER['HTTP_X_FORWARDED_HOST'];
+    if (strpos($host,',')!==false){
+        $h = explode(',',$host);
+        $host = trim(reset($h));
+    }
+    // securite sur le contenu de l'entete
+    $host = strtr($host, "<>?\"\{\}\$'` \r\n", '____________');
+    $_SERVER['HTTP_HOST'] = $host;
 }
 //
 // On note le numero IP du client dans la variable $ip
 //
 if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
-	$ip = $_SERVER['HTTP_X_FORWARDED_FOR'];
-	if (strpos($ip,',')!==false){
-		$ip = explode(',',$ip);
-		$ip = reset($ip);
-	}
-	// ecraser $_SERVER['REMOTE_ADDR'] si elle est en localhost
-	if (isset($_SERVER['REMOTE_ADDR']) AND $_SERVER['REMOTE_ADDR']==='127.0.0.1'){
-		$_SERVER['REMOTE_ADDR'] = $ip;
-	}
+    $ip = $_SERVER['HTTP_X_FORWARDED_FOR'];
+    if (strpos($ip,',')!==false){
+        $ip = explode(',',$ip);
+        $ip = reset($ip);
+    }
+    // ecraser $_SERVER['REMOTE_ADDR'] si elle est en localhost
+    if (isset($_SERVER['REMOTE_ADDR']) AND $_SERVER['REMOTE_ADDR']==='127.0.0.1'){
+        $_SERVER['REMOTE_ADDR'] = $ip;
+    }
 }
 if (isset($_SERVER['REMOTE_ADDR'])) {
-	$ip = $_SERVER['REMOTE_ADDR'];
+    $ip = $_SERVER['REMOTE_ADDR'];
 }
 
 // Pour renforcer la privacy, decommentez la ligne ci-dessous (ou recopiez-la
@@ -393,24 +393,24 @@ 
 
 // Liste des statuts.
 $liste_des_statuts = array(
-	"info_administrateurs" => '0minirezo',
-	"info_redacteurs" => '1comite',
-	"info_visiteurs" => '6forum',
-	"texte_statut_poubelle" => '5poubelle'
+    "info_administrateurs" => '0minirezo',
+    "info_redacteurs" => '1comite',
+    "info_visiteurs" => '6forum',
+    "texte_statut_poubelle" => '5poubelle'
 );
 
 $liste_des_etats = array(
-	'texte_statut_en_cours_redaction' => 'prepa',
-	'texte_statut_propose_evaluation' => 'prop',
-	'texte_statut_publie' => 'publie',
-	'texte_statut_poubelle' => 'poubelle',
-	'texte_statut_refuse' => 'refuse'
+    'texte_statut_en_cours_redaction' => 'prepa',
+    'texte_statut_propose_evaluation' => 'prop',
+    'texte_statut_publie' => 'publie',
+    'texte_statut_poubelle' => 'poubelle',
+    'texte_statut_refuse' => 'refuse'
 );
 
 // liste des methodes d'authentifications
 $liste_des_authentifications = array(
-	'spip' => 'spip',
-	'ldap' => 'ldap'
+    'spip' => 'spip',
+    'ldap' => 'ldap'
 );
 
 // Experimental : pour supprimer systematiquement l'affichage des numeros
@@ -457,12 +457,12 @@ 
 // Definition personnelles eventuelles
 
 if (_FILE_OPTIONS) {
-	include_once _FILE_OPTIONS;
+    include_once _FILE_OPTIONS;
 }
 
 if (!defined('SPIP_ERREUR_REPORT')) {
-	/** Masquer les warning */
-	define('SPIP_ERREUR_REPORT', E_ALL ^ E_NOTICE ^ E_DEPRECATED);
+    /** Masquer les warning */
+    define('SPIP_ERREUR_REPORT', E_ALL ^ E_NOTICE ^ E_DEPRECATED);
 }
 error_reporting(SPIP_ERREUR_REPORT);
 
@@ -475,10 +475,10 @@ 
 // ===> on execute en neutralisant les messages d'erreur
 
 spip_initialisation_core(
-	(_DIR_RACINE . _NOM_PERMANENTS_INACCESSIBLES),
-	(_DIR_RACINE . _NOM_PERMANENTS_ACCESSIBLES),
-	(_DIR_RACINE . _NOM_TEMPORAIRES_INACCESSIBLES),
-	(_DIR_RACINE . _NOM_TEMPORAIRES_ACCESSIBLES)
+    (_DIR_RACINE . _NOM_PERMANENTS_INACCESSIBLES),
+    (_DIR_RACINE . _NOM_PERMANENTS_ACCESSIBLES),
+    (_DIR_RACINE . _NOM_TEMPORAIRES_INACCESSIBLES),
+    (_DIR_RACINE . _NOM_TEMPORAIRES_ACCESSIBLES)
 );
 
 
@@ -488,69 +488,69 @@ 
 // donc il faut avoir tout fini ici avant de charger les plugins
 
 if (@is_readable(_CACHE_PLUGINS_OPT) and @is_readable(_CACHE_PLUGINS_PATH)) {
-	// chargement optimise precompile
-	include_once(_CACHE_PLUGINS_OPT);
+    // chargement optimise precompile
+    include_once(_CACHE_PLUGINS_OPT);
 } else {
-	spip_initialisation_suite();
-	include_spip('inc/plugin');
-	// generer les fichiers php precompiles
-	// de chargement des plugins et des pipelines
-	actualise_plugins_actifs();
+    spip_initialisation_suite();
+    include_spip('inc/plugin');
+    // generer les fichiers php precompiles
+    // de chargement des plugins et des pipelines
+    actualise_plugins_actifs();
 }
 
 // Initialisations non critiques surchargeables par les plugins
 spip_initialisation_suite();
 
 if (!defined('_LOG_FILTRE_GRAVITE')) {
-	/** niveau maxi d'enregistrement des logs */
-	define('_LOG_FILTRE_GRAVITE', _LOG_INFO_IMPORTANTE);
+    /** niveau maxi d'enregistrement des logs */
+    define('_LOG_FILTRE_GRAVITE', _LOG_INFO_IMPORTANTE);
 }
 
 if (!defined('_OUTILS_DEVELOPPEURS')) {
-	/** Activer des outils pour développeurs ? */
-	define('_OUTILS_DEVELOPPEURS', false);
+    /** Activer des outils pour développeurs ? */
+    define('_OUTILS_DEVELOPPEURS', false);
 }
 
 // charger systematiquement inc/autoriser dans l'espace restreint
 if (test_espace_prive()) {
-	include_spip('inc/autoriser');
+    include_spip('inc/autoriser');
 }
 //
 // Installer Spip si pas installe... sauf si justement on est en train
 //
 if (!(_FILE_CONNECT
-	or autoriser_sans_cookie(_request('exec'))
-	or _request('action') == 'cookie'
-	or _request('action') == 'converser'
-	or _request('action') == 'test_dirs')
+    or autoriser_sans_cookie(_request('exec'))
+    or _request('action') == 'cookie'
+    or _request('action') == 'converser'
+    or _request('action') == 'test_dirs')
 ) {
 
-	// Si on peut installer, on lance illico
-	if (test_espace_prive()) {
-		include_spip('inc/headers');
-		redirige_url_ecrire("install");
-	} else {
-		// Si on est dans le site public, dire que qq s'en occupe
-		include_spip('inc/minipres');
-		utiliser_langue_visiteur();
-		echo minipres(_T('info_travaux_titre'), "<p style='text-align: center;'>" . _T('info_travaux_texte') . "</p>");
-		exit;
-	}
-	// autrement c'est une install ad hoc (spikini...), on sait pas faire
+    // Si on peut installer, on lance illico
+    if (test_espace_prive()) {
+        include_spip('inc/headers');
+        redirige_url_ecrire("install");
+    } else {
+        // Si on est dans le site public, dire que qq s'en occupe
+        include_spip('inc/minipres');
+        utiliser_langue_visiteur();
+        echo minipres(_T('info_travaux_titre'), "<p style='text-align: center;'>" . _T('info_travaux_texte') . "</p>");
+        exit;
+    }
+    // autrement c'est une install ad hoc (spikini...), on sait pas faire
 }
 
 // memoriser un tri sessionne eventuel
 if (isset($_REQUEST['var_memotri'])
-	and $t = $_REQUEST['var_memotri']
-	and (strncmp($t, 'trisession', 10) == 0 or strncmp($t, 'senssession', 11) == 0)
+    and $t = $_REQUEST['var_memotri']
+    and (strncmp($t, 'trisession', 10) == 0 or strncmp($t, 'senssession', 11) == 0)
 ) {
-	if (!function_exists('session_set')) {
-		include_spip('inc/session');
-	}
-	$t = preg_replace(",\W,","_", $t);
-	if ($v = _request($t)) {
-		session_set($t, $v);
-	}
+    if (!function_exists('session_set')) {
+        include_spip('inc/session');
+    }
+    $t = preg_replace(",\W,","_", $t);
+    if ($v = _request($t)) {
+        session_set($t, $v);
+    }
 }
 
 /**
@@ -560,17 +560,17 @@ 
  * La globale $spip_header_silencieux permet de rendre le header minimal pour raisons de securite
  */
 if (!defined('_HEADER_COMPOSED_BY')) {
-	define('_HEADER_COMPOSED_BY', "Composed-By: SPIP");
+    define('_HEADER_COMPOSED_BY', "Composed-By: SPIP");
 }
 if (!headers_sent() and _HEADER_COMPOSED_BY) {
-	header("Vary: Cookie, Accept-Encoding");
-	if (!isset($GLOBALS['spip_header_silencieux']) or !$GLOBALS['spip_header_silencieux']) {
-		include_spip('inc/filtres_mini');
-		header(_HEADER_COMPOSED_BY . " $spip_version_affichee @ www.spip.net + " . url_absolue(_DIR_VAR . "config.txt"));
-	} else {
-		// header minimal
-		header(_HEADER_COMPOSED_BY . " @ www.spip.net");
-	}
+    header("Vary: Cookie, Accept-Encoding");
+    if (!isset($GLOBALS['spip_header_silencieux']) or !$GLOBALS['spip_header_silencieux']) {
+        include_spip('inc/filtres_mini');
+        header(_HEADER_COMPOSED_BY . " $spip_version_affichee @ www.spip.net + " . url_absolue(_DIR_VAR . "config.txt"));
+    } else {
+        // header minimal
+        header(_HEADER_COMPOSED_BY . " @ www.spip.net");
+    }
 }
 
 $methode = (isset($_SERVER['REQUEST_METHOD']) ? $_SERVER['REQUEST_METHOD'] : ((php_sapi_name() == 'cli') ? 'cli' : ''));

Spacing +32 added lines, -32 removed lines

@@ -49,11 +49,11 @@ 
 define('_DIR_RACINE', _DIR_RESTREINT ? '' : '../');
 
 /** chemin absolu vers la racine */
-define('_ROOT_RACINE', dirname(dirname(__FILE__)) . '/');
+define('_ROOT_RACINE', dirname(dirname(__FILE__)).'/');
 /** chemin absolu vers le repertoire de travail */
-define('_ROOT_CWD', getcwd() . '/');
+define('_ROOT_CWD', getcwd().'/');
 /** chemin absolu vers ecrire */
-define('_ROOT_RESTREINT', _ROOT_CWD . _DIR_RESTREINT);
+define('_ROOT_RESTREINT', _ROOT_CWD._DIR_RESTREINT);
 
 // Icones
 if (!defined('_NOM_IMG_PACK')) {
@@ -61,17 +61,17 @@ 
 	define('_NOM_IMG_PACK', 'images/');
 }
 /** le chemin http (relatif) vers les images standard */
-define('_DIR_IMG_PACK', (_DIR_RACINE . 'prive/' . _NOM_IMG_PACK));
+define('_DIR_IMG_PACK', (_DIR_RACINE.'prive/'._NOM_IMG_PACK));
 
 /** le chemin php (absolu) vers les images standard (pour hebergement centralise) */
-define('_ROOT_IMG_PACK', dirname(dirname(__FILE__)) . '/prive/' . _NOM_IMG_PACK);
+define('_ROOT_IMG_PACK', dirname(dirname(__FILE__)).'/prive/'._NOM_IMG_PACK);
 
 if (!defined('_JAVASCRIPT')) {
 	/** Nom du repertoire des  bibliotheques JavaScript */
 	define('_JAVASCRIPT', 'javascript/');
 } // utilisable avec #CHEMIN et find_in_path
 /** le nom du repertoire des  bibliotheques JavaScript du prive */
-define('_DIR_JAVASCRIPT', (_DIR_RACINE . 'prive/' . _JAVASCRIPT));
+define('_DIR_JAVASCRIPT', (_DIR_RACINE.'prive/'._JAVASCRIPT));
 
 # Le nom des 4 repertoires modifiables par les scripts lances par httpd
 # Par defaut ces 4 noms seront suffixes par _DIR_RACINE (cf plus bas)
@@ -101,8 +101,8 @@ 
 }
 
 // Son emplacement absolu si on le trouve
-if (@file_exists($f = _ROOT_RACINE . _NOM_PERMANENTS_INACCESSIBLES . _NOM_CONFIG . '.php')
-	or (@file_exists($f = _ROOT_RESTREINT . _NOM_CONFIG . '.php'))
+if (@file_exists($f = _ROOT_RACINE._NOM_PERMANENTS_INACCESSIBLES._NOM_CONFIG.'.php')
+	or (@file_exists($f = _ROOT_RESTREINT._NOM_CONFIG.'.php'))
 ) {
 	/** Emplacement absolu du fichier d'option */
 	define('_FILE_OPTIONS', $f);
@@ -125,7 +125,7 @@ 
 
 // Inclure l'ecran de securite
 if (!defined('_ECRAN_SECURITE')
-	and @file_exists($f = _ROOT_RACINE . _NOM_PERMANENTS_INACCESSIBLES . 'ecran_securite.php')
+	and @file_exists($f = _ROOT_RACINE._NOM_PERMANENTS_INACCESSIBLES.'ecran_securite.php')
 ) {
 	include $f;
 }
@@ -144,7 +144,7 @@ 
 			. 'MSIE 6\.0|'
 			// UA plus cibles
 			. '80legs|accoona|AltaVista|ASPSeek|Baidu|Charlotte|EC2LinkFinder|eStyle|facebook|flipboard|hootsuite|FunWebProducts|Google|Genieo|INA dlweb|InfegyAtlas|Java VM|LiteFinder|Lycos|MetaURI|Moreover|Rambler|Scooter|ScrubbyBloglines|Yahoo|Yeti'
-			. ',i', (string)$_SERVER['HTTP_USER_AGENT'])
+			. ',i', (string) $_SERVER['HTTP_USER_AGENT'])
 	);
 }
 
@@ -266,7 +266,7 @@ 
 //
 // Prendre en compte les entetes HTTP_X_FORWARDED_XX
 //
-if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) and $_SERVER['HTTP_X_FORWARDED_PROTO']==='https'){
+if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) and $_SERVER['HTTP_X_FORWARDED_PROTO'] === 'https') {
 	if (empty($_SERVER['HTTP_X_FORWARDED_HOST'])) {
 		$_SERVER['HTTP_X_FORWARDED_HOST'] = $_SERVER['HTTP_HOST'];
 	}
@@ -274,10 +274,10 @@ 
 		$_SERVER['HTTP_X_FORWARDED_PORT'] = 443;
 	}
 }
-if (isset($_SERVER['HTTP_X_FORWARDED_HOST'])){
-	if (isset($_SERVER['HTTP_X_FORWARDED_PORT']) and is_numeric($_SERVER['HTTP_X_FORWARDED_PORT'])){
+if (isset($_SERVER['HTTP_X_FORWARDED_HOST'])) {
+	if (isset($_SERVER['HTTP_X_FORWARDED_PORT']) and is_numeric($_SERVER['HTTP_X_FORWARDED_PORT'])) {
 		$_SERVER['SERVER_PORT'] = $_SERVER['HTTP_X_FORWARDED_PORT'];
-		if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) and $_SERVER['HTTP_X_FORWARDED_PROTO']==='https'){
+		if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) and $_SERVER['HTTP_X_FORWARDED_PROTO'] === 'https') {
 			$_SERVER['HTTPS'] = 'on';
 			if (isset($_SERVER['REQUEST_SCHEME'])) {
 				$_SERVER['REQUEST_SCHEME'] = 'https';
@@ -285,8 +285,8 @@ 
 		}
 	}
 	$host = $_SERVER['HTTP_X_FORWARDED_HOST'];
-	if (strpos($host,',')!==false){
-		$h = explode(',',$host);
+	if (strpos($host, ',') !== false) {
+		$h = explode(',', $host);
 		$host = trim(reset($h));
 	}
 	// securite sur le contenu de l'entete
@@ -298,12 +298,12 @@ 
 //
 if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
 	$ip = $_SERVER['HTTP_X_FORWARDED_FOR'];
-	if (strpos($ip,',')!==false){
-		$ip = explode(',',$ip);
+	if (strpos($ip, ',') !== false) {
+		$ip = explode(',', $ip);
 		$ip = reset($ip);
 	}
 	// ecraser $_SERVER['REMOTE_ADDR'] si elle est en localhost
-	if (isset($_SERVER['REMOTE_ADDR']) AND $_SERVER['REMOTE_ADDR']==='127.0.0.1'){
+	if (isset($_SERVER['REMOTE_ADDR']) AND $_SERVER['REMOTE_ADDR'] === '127.0.0.1') {
 		$_SERVER['REMOTE_ADDR'] = $ip;
 	}
 }
@@ -376,7 +376,7 @@ 
 # la matrice standard (fichiers definissant les fonctions a inclure)
 $spip_matrice = array();
 # les plugins a activer
-$plugins = array();  // voir le contenu du repertoire /plugins/
+$plugins = array(); // voir le contenu du repertoire /plugins/
 # les surcharges de include_spip()
 $surcharges = array(); // format 'inc_truc' => '/plugins/chose/inc_truc2.php'
 
@@ -427,7 +427,7 @@ 
 $spip_version_branche = "3.3.0-dev";
 // cette version dev accepte tous les plugins compatible avec la version ci-dessous
 // a supprimer en phase beta/rc/release
-define('_DEV_VERSION_SPIP_COMPAT',"3.2.99");
+define('_DEV_VERSION_SPIP_COMPAT', "3.2.99");
 // version des signatures de fonctions PHP
 // (= numero SVN de leur derniere modif cassant la compatibilite et/ou necessitant un recalcul des squelettes)
 $spip_version_code = 22653;
@@ -451,8 +451,8 @@ 
 //
 // Charger les fonctions liees aux serveurs Http et Sql.
 //
-require_once _ROOT_RESTREINT . 'inc/utils.php';
-require_once _ROOT_RESTREINT . 'base/connect_sql.php';
+require_once _ROOT_RESTREINT.'inc/utils.php';
+require_once _ROOT_RESTREINT.'base/connect_sql.php';
 
 // Definition personnelles eventuelles
 
@@ -475,10 +475,10 @@ 
 // ===> on execute en neutralisant les messages d'erreur
 
 spip_initialisation_core(
-	(_DIR_RACINE . _NOM_PERMANENTS_INACCESSIBLES),
-	(_DIR_RACINE . _NOM_PERMANENTS_ACCESSIBLES),
-	(_DIR_RACINE . _NOM_TEMPORAIRES_INACCESSIBLES),
-	(_DIR_RACINE . _NOM_TEMPORAIRES_ACCESSIBLES)
+	(_DIR_RACINE._NOM_PERMANENTS_INACCESSIBLES),
+	(_DIR_RACINE._NOM_PERMANENTS_ACCESSIBLES),
+	(_DIR_RACINE._NOM_TEMPORAIRES_INACCESSIBLES),
+	(_DIR_RACINE._NOM_TEMPORAIRES_ACCESSIBLES)
 );
 
 
@@ -533,7 +533,7 @@ 
 		// Si on est dans le site public, dire que qq s'en occupe
 		include_spip('inc/minipres');
 		utiliser_langue_visiteur();
-		echo minipres(_T('info_travaux_titre'), "<p style='text-align: center;'>" . _T('info_travaux_texte') . "</p>");
+		echo minipres(_T('info_travaux_titre'), "<p style='text-align: center;'>"._T('info_travaux_texte')."</p>");
 		exit;
 	}
 	// autrement c'est une install ad hoc (spikini...), on sait pas faire
@@ -547,7 +547,7 @@ 
 	if (!function_exists('session_set')) {
 		include_spip('inc/session');
 	}
-	$t = preg_replace(",\W,","_", $t);
+	$t = preg_replace(",\W,", "_", $t);
 	if ($v = _request($t)) {
 		session_set($t, $v);
 	}
@@ -566,12 +566,12 @@ 
 	header("Vary: Cookie, Accept-Encoding");
 	if (!isset($GLOBALS['spip_header_silencieux']) or !$GLOBALS['spip_header_silencieux']) {
 		include_spip('inc/filtres_mini');
-		header(_HEADER_COMPOSED_BY . " $spip_version_affichee @ www.spip.net + " . url_absolue(_DIR_VAR . "config.txt"));
+		header(_HEADER_COMPOSED_BY." $spip_version_affichee @ www.spip.net + ".url_absolue(_DIR_VAR."config.txt"));
 	} else {
 		// header minimal
-		header(_HEADER_COMPOSED_BY . " @ www.spip.net");
+		header(_HEADER_COMPOSED_BY." @ www.spip.net");
 	}
 }
 
 $methode = (isset($_SERVER['REQUEST_METHOD']) ? $_SERVER['REQUEST_METHOD'] : ((php_sapi_name() == 'cli') ? 'cli' : ''));
-spip_log($methode . ' ' . self() . ' - ' . _FILE_CONNECT, _LOG_DEBUG);
+spip_log($methode.' '.self().' - '._FILE_CONNECT, _LOG_DEBUG);