spip / SPIP

config/ecran_securite.php

Spacing +40 added lines, -40 removed lines

@@ -23,18 +23,18 @@ 
  * var_isbot=1 peut etre utilise pour monitorer la disponibilite pour les bots (sujets a 503 de delestage si
  * le load depasse ECRAN_SECURITE_LOAD)
  */
-if (!defined('_IS_BOT') and isset($_GET['var_isbot'])){
+if (!defined('_IS_BOT') and isset($_GET['var_isbot'])) {
 	define('_IS_BOT', $_GET['var_isbot'] ? true : false);
 }
 
 /*
  * Détecteur de robot d'indexation
  */
-if (!defined('_IS_BOT')){
+if (!defined('_IS_BOT')) {
 	define('_IS_BOT',
 		isset($_SERVER['HTTP_USER_AGENT'])
 		and preg_match(','
-		. implode ('|', array(
+		. implode('|', array(
 			// mots generiques
 			'bot',
 			'slurp',
@@ -219,19 +219,19 @@ 
 			'yats',
 			'yeti',
 			'zeerch'
-		)) . ',i',
-		(string)$_SERVER['HTTP_USER_AGENT'])
+		)).',i',
+		(string) $_SERVER['HTTP_USER_AGENT'])
 	);
 }
-if (!defined('_IS_BOT_FRIEND')){
+if (!defined('_IS_BOT_FRIEND')) {
 	define('_IS_BOT_FRIEND',
 		isset($_SERVER['HTTP_USER_AGENT'])
-		and preg_match(',' . implode ('|', array(
+		and preg_match(','.implode('|', array(
 			'facebookexternalhit',
 			'flipboardproxy',
 			'wordpress'
-		)) . ',i',
-		(string)$_SERVER['HTTP_USER_AGENT'])
+		)).',i',
+		(string) $_SERVER['HTTP_USER_AGENT'])
 	);
 }
 
@@ -242,19 +242,19 @@ 
  * (sauf pour id_table, qui n'est pas numérique jusqu'à [5743])
  * (id_base est une variable de la config des widgets de WordPress)
  */
-$_exceptions = array('id_table','id_base','id_parent','id_article_pdf');
+$_exceptions = array('id_table', 'id_base', 'id_parent', 'id_article_pdf');
 foreach ($_GET as $var => $val)
 	if ($_GET[$var] and strncmp($var, "id_", 3) == 0
 		and !in_array($var, $_exceptions))
-		$_GET[$var] = is_array($_GET[$var])?@array_map('intval', $_GET[$var]):intval($_GET[$var]);
+		$_GET[$var] = is_array($_GET[$var]) ? @array_map('intval', $_GET[$var]) : intval($_GET[$var]);
 foreach ($_POST as $var => $val)
 	if ($_POST[$var] and strncmp($var, "id_", 3) == 0
 		and !in_array($var, $_exceptions))
-		$_POST[$var] = is_array($_POST[$var])?@array_map('intval', $_POST[$var]):intval($_POST[$var]);
+		$_POST[$var] = is_array($_POST[$var]) ? @array_map('intval', $_POST[$var]) : intval($_POST[$var]);
 foreach ($GLOBALS as $var => $val)
 	if ($GLOBALS[$var] and strncmp($var, "id_", 3) == 0
 		and !in_array($var, $_exceptions))
-		$GLOBALS[$var] = is_array($GLOBALS[$var])?@array_map('intval', $GLOBALS[$var]):intval($GLOBALS[$var]);
+		$GLOBALS[$var] = is_array($GLOBALS[$var]) ? @array_map('intval', $GLOBALS[$var]) : intval($GLOBALS[$var]);
 
 /*
  * Interdit la variable $cjpeg_command, qui était utilisée sans
@@ -265,18 +265,18 @@ 
 /*
  * Contrôle de quelques variables (XSS)
  */
-foreach(array('lang', 'var_recherche', 'aide', 'var_lang_r', 'lang_r', 'var_ajax_ancre', 'nom_fichier') as $var) {
+foreach (array('lang', 'var_recherche', 'aide', 'var_lang_r', 'lang_r', 'var_ajax_ancre', 'nom_fichier') as $var) {
 	if (isset($_GET[$var]))
-		$_REQUEST[$var] = $GLOBALS[$var] = $_GET[$var] = preg_replace(',[^\w\,/#&;-]+,', ' ', (string)$_GET[$var]);
+		$_REQUEST[$var] = $GLOBALS[$var] = $_GET[$var] = preg_replace(',[^\w\,/#&;-]+,', ' ', (string) $_GET[$var]);
 	if (isset($_POST[$var]))
-		$_REQUEST[$var] = $GLOBALS[$var] = $_POST[$var] = preg_replace(',[^\w\,/#&;-]+,', ' ', (string)$_POST[$var]);
+		$_REQUEST[$var] = $GLOBALS[$var] = $_POST[$var] = preg_replace(',[^\w\,/#&;-]+,', ' ', (string) $_POST[$var]);
 }
 
 /*
  * Filtre l'accès à spip_acces_doc (injection SQL en 1.8.2x)
  */
-if (preg_match(',^(.*/)?spip_acces_doc\.,', (string)$_SERVER['REQUEST_URI'])) {
-	$file = addslashes((string)$_GET['file']);
+if (preg_match(',^(.*/)?spip_acces_doc\.,', (string) $_SERVER['REQUEST_URI'])) {
+	$file = addslashes((string) $_GET['file']);
 }
 
 /*
@@ -291,28 +291,28 @@ 
  * Agenda joue à l'injection php
  */
 if (isset($_REQUEST['partie_cal'])
-and $_REQUEST['partie_cal'] !== htmlentities((string)$_REQUEST['partie_cal']))
+and $_REQUEST['partie_cal'] !== htmlentities((string) $_REQUEST['partie_cal']))
 	$ecran_securite_raison = "partie_cal";
 if (isset($_REQUEST['echelle'])
-and $_REQUEST['echelle'] !== htmlentities((string)$_REQUEST['echelle']))
+and $_REQUEST['echelle'] !== htmlentities((string) $_REQUEST['echelle']))
 	$ecran_securite_raison = "echelle";
 
 /*
  * Espace privé
  */
 if (isset($_REQUEST['exec'])
-and !preg_match(',^[\w-]+$,', (string)$_REQUEST['exec']))
+and !preg_match(',^[\w-]+$,', (string) $_REQUEST['exec']))
 	$ecran_securite_raison = "exec";
 if (isset($_REQUEST['cherche_auteur'])
-and preg_match(',[<],', (string)$_REQUEST['cherche_auteur']))
+and preg_match(',[<],', (string) $_REQUEST['cherche_auteur']))
 	$ecran_securite_raison = "cherche_auteur";
 if (isset($_REQUEST['exec'])
 and $_REQUEST['exec'] == 'auteurs'
-and preg_match(',[<],', (string)$_REQUEST['recherche']))
+and preg_match(',[<],', (string) $_REQUEST['recherche']))
 	$ecran_securite_raison = "recherche";
 if (isset($_REQUEST['exec'])
 and $_REQUEST['exec'] == 'info_plugin'
-and preg_match(',[<],', (string)$_REQUEST['plugin']))
+and preg_match(',[<],', (string) $_REQUEST['plugin']))
 	$ecran_securite_raison = "plugin";
 if (isset($_REQUEST['exec'])
 and $_REQUEST['exec'] == 'puce_statut'
@@ -325,7 +325,7 @@ 
 	or @file_exists('ecrire/inc_version.php')) {
 		function action_configurer() {
 			include_spip('inc/autoriser');
-			if(!autoriser('configurer', _request('configuration'))) {
+			if (!autoriser('configurer', _request('configuration'))) {
 				include_spip('inc/minipres');
 				echo minipres(_T('info_acces_interdit'));
 				exit;
@@ -366,9 +366,9 @@ 
  */
 if (_IS_BOT and (
 	(isset($_REQUEST['echelle']) and isset($_REQUEST['partie_cal']) and isset($_REQUEST['type']))
-	or (strpos((string)$_SERVER['REQUEST_URI'], 'debut_') and preg_match(',[?&]debut_.*&debut_,', (string)$_SERVER['REQUEST_URI']))
-		or (isset($_REQUEST['calendrier_annee']) and strpos((string)$_SERVER['REQUEST_URI'], 'debut_') )
-		or (isset($_REQUEST['calendrier_annee']) and preg_match(',[?&]calendrier_annee=.*&calendrier_annee=,', (string)$_SERVER['REQUEST_URI']))
+	or (strpos((string) $_SERVER['REQUEST_URI'], 'debut_') and preg_match(',[?&]debut_.*&debut_,', (string) $_SERVER['REQUEST_URI']))
+		or (isset($_REQUEST['calendrier_annee']) and strpos((string) $_SERVER['REQUEST_URI'], 'debut_'))
+		or (isset($_REQUEST['calendrier_annee']) and preg_match(',[?&]calendrier_annee=.*&calendrier_annee=,', (string) $_SERVER['REQUEST_URI']))
 )
 )
 	$ecran_securite_raison = "robot agenda/double pagination";
@@ -380,7 +380,7 @@ 
 if (isset($_REQUEST['page'])) {
 	if ($_REQUEST['page'] == 'test_cfg')
 		$ecran_securite_raison = "test_cfg";
-	if ($_REQUEST['page'] !== htmlspecialchars((string)$_REQUEST['page']))
+	if ($_REQUEST['page'] !== htmlspecialchars((string) $_REQUEST['page']))
 		$ecran_securite_raison = "xsspage";
 	if ($_REQUEST['page'] == '404'
 	and isset($_REQUEST['erreur']))
@@ -418,12 +418,12 @@ 
 /*
  * Outils XML mal sécurisés again
  */
-if (isset($_REQUEST['var_url']) and $_REQUEST['var_url'] and isset($_REQUEST['exec']) and $_REQUEST['exec']=='valider_xml'){
+if (isset($_REQUEST['var_url']) and $_REQUEST['var_url'] and isset($_REQUEST['exec']) and $_REQUEST['exec'] == 'valider_xml') {
 	$url = trim($_REQUEST['var_url']);
-	if (strncmp($url,'/',1)==0
-	  or (($p=strpos($url,'..'))!==false AND strpos($url,'..',$p+3)!==false)
-	  or (($p=strpos($url,'..'))!==false AND strpos($url,'IMG',$p+3)!==false)
-		or (strpos($url,'://')!==false or strpos($url,':\\')!==false)) {
+	if (strncmp($url, '/', 1) == 0
+	  or (($p = strpos($url, '..')) !== false AND strpos($url, '..', $p + 3) !== false)
+	  or (($p = strpos($url, '..')) !== false AND strpos($url, 'IMG', $p + 3) !== false)
+		or (strpos($url, '://') !== false or strpos($url, ':\\') !== false)) {
 		$ecran_securite_raison = 'URL interdite pour var_url';
 	}
 }
@@ -432,10 +432,10 @@ 
  * Sauvegarde mal securisée < 2.0.9
  */
 if (isset($_REQUEST['nom_sauvegarde'])
-and strstr((string)$_REQUEST['nom_sauvegarde'], '/'))
+and strstr((string) $_REQUEST['nom_sauvegarde'], '/'))
 	$ecran_securite_raison = 'nom_sauvegarde manipulee';
 if (isset($_REQUEST['znom_sauvegarde'])
-and strstr((string)$_REQUEST['znom_sauvegarde'], '/'))
+and strstr((string) $_REQUEST['znom_sauvegarde'], '/'))
 	$ecran_securite_raison = 'znom_sauvegarde manipulee';
 
 
@@ -450,8 +450,8 @@ 
 /*
  * Forms & Table ne se méfiait pas assez des uploads de fichiers
  */
-if (count($_FILES)){
-	foreach($_FILES as $k => $v){
+if (count($_FILES)) {
+	foreach ($_FILES as $k => $v) {
 		 if (preg_match(',^fichier_\d+$,', $k)
 		 and preg_match(',\.php,i', $v['name']))
 		 	unset($_FILES[$k]);
@@ -461,7 +461,7 @@ 
  * et Contact trop laxiste avec une variable externe
  * on bloque pas le post pour eviter de perdre des donnees mais on unset la variable et c'est tout
  */
-if (isset($_REQUEST['pj_enregistrees_nom']) and $_REQUEST['pj_enregistrees_nom']){
+if (isset($_REQUEST['pj_enregistrees_nom']) and $_REQUEST['pj_enregistrees_nom']) {
 	unset($_REQUEST['pj_enregistrees_nom']);
 	unset($_GET['pj_enregistrees_nom']);
 	unset($_POST['pj_enregistrees_nom']);
@@ -491,7 +491,7 @@ 
 /*
  * Réinjection des clés en html dans l'admin r19561
  */
-if (strpos($_SERVER['REQUEST_URI'], "ecrire/") !== false){
+if (strpos($_SERVER['REQUEST_URI'], "ecrire/") !== false) {
 	$zzzz = implode("", array_keys($_REQUEST));
 	if (strlen($zzzz) != strcspn($zzzz, '<>"\''))
 		$ecran_securite_raison = 'Cle incorrecte en $_REQUEST';