spip / SPIP

config/ecran_securite.php

Braces +84 added lines, -49 removed lines

@@ -14,8 +14,9 @@ 
 /*
  * Test utilisateur
  */
-if (isset($_GET['test_ecran_securite']))
+if (isset($_GET['test_ecran_securite'])) {
 	$ecran_securite_raison = 'test '._ECRAN_SECURITE;
+}
 
 /*
  * Monitoring
@@ -243,18 +244,21 @@ 
  * (id_base est une variable de la config des widgets de WordPress)
  */
 $_exceptions = array('id_table','id_base','id_parent','id_article_pdf');
-foreach ($_GET as $var => $val)
+foreach ($_GET as $var => $val) {
 	if ($_GET[$var] and strncmp($var, "id_", 3) == 0
 		and !in_array($var, $_exceptions))
 		$_GET[$var] = is_array($_GET[$var])?@array_map('intval', $_GET[$var]):intval($_GET[$var]);
-foreach ($_POST as $var => $val)
+}
+foreach ($_POST as $var => $val) {
 	if ($_POST[$var] and strncmp($var, "id_", 3) == 0
 		and !in_array($var, $_exceptions))
 		$_POST[$var] = is_array($_POST[$var])?@array_map('intval', $_POST[$var]):intval($_POST[$var]);
-foreach ($GLOBALS as $var => $val)
+}
+foreach ($GLOBALS as $var => $val) {
 	if ($GLOBALS[$var] and strncmp($var, "id_", 3) == 0
 		and !in_array($var, $_exceptions))
 		$GLOBALS[$var] = is_array($GLOBALS[$var])?@array_map('intval', $GLOBALS[$var]):intval($GLOBALS[$var]);
+}
 
 /*
  * Interdit la variable $cjpeg_command, qui était utilisée sans
@@ -266,11 +270,13 @@ 
  * Contrôle de quelques variables (XSS)
  */
 foreach(array('lang', 'var_recherche', 'aide', 'var_lang_r', 'lang_r', 'var_ajax_ancre', 'nom_fichier') as $var) {
-	if (isset($_GET[$var]))
-		$_REQUEST[$var] = $GLOBALS[$var] = $_GET[$var] = preg_replace(',[^\w\,/#&;-]+,', ' ', (string)$_GET[$var]);
-	if (isset($_POST[$var]))
-		$_REQUEST[$var] = $GLOBALS[$var] = $_POST[$var] = preg_replace(',[^\w\,/#&;-]+,', ' ', (string)$_POST[$var]);
-}
+	if (isset($_GET[$var])) {
+			$_REQUEST[$var] = $GLOBALS[$var] = $_GET[$var] = preg_replace(',[^\w\,/#&;-]+,', ' ', (string)$_GET[$var]);
+	}
+	if (isset($_POST[$var])) {
+			$_REQUEST[$var] = $GLOBALS[$var] = $_POST[$var] = preg_replace(',[^\w\,/#&;-]+,', ' ', (string)$_POST[$var]);
+	}
+	}
 
 /*
  * Filtre l'accès à spip_acces_doc (injection SQL en 1.8.2x)
@@ -286,41 +292,49 @@ 
  */
 if (isset($_REQUEST['mode']) and isset($_REQUEST['page'])
 and !in_array($_REQUEST['mode'], array("6forum", "1comite"))
-and $_REQUEST['page'] == "identifiants")
+and $_REQUEST['page'] == "identifiants") {
 	$ecran_securite_raison = "identifiants";
+}
 
 /*
  * Agenda joue à l'injection php
  */
 if (isset($_REQUEST['partie_cal'])
-and $_REQUEST['partie_cal'] !== htmlentities((string)$_REQUEST['partie_cal']))
+and $_REQUEST['partie_cal'] !== htmlentities((string)$_REQUEST['partie_cal'])) {
 	$ecran_securite_raison = "partie_cal";
+}
 if (isset($_REQUEST['echelle'])
-and $_REQUEST['echelle'] !== htmlentities((string)$_REQUEST['echelle']))
+and $_REQUEST['echelle'] !== htmlentities((string)$_REQUEST['echelle'])) {
 	$ecran_securite_raison = "echelle";
+}
 
 /*
  * Espace privé
  */
 if (isset($_REQUEST['exec'])
-and !preg_match(',^[\w-]+$,', (string)$_REQUEST['exec']))
+and !preg_match(',^[\w-]+$,', (string)$_REQUEST['exec'])) {
 	$ecran_securite_raison = "exec";
+}
 if (isset($_REQUEST['cherche_auteur'])
-and preg_match(',[<],', (string)$_REQUEST['cherche_auteur']))
+and preg_match(',[<],', (string)$_REQUEST['cherche_auteur'])) {
 	$ecran_securite_raison = "cherche_auteur";
+}
 if (isset($_REQUEST['exec'])
 and $_REQUEST['exec'] == 'auteurs'
-and preg_match(',[<],', (string)$_REQUEST['recherche']))
+and preg_match(',[<],', (string)$_REQUEST['recherche'])) {
 	$ecran_securite_raison = "recherche";
+}
 if (isset($_REQUEST['exec'])
 and $_REQUEST['exec'] == 'info_plugin'
-and preg_match(',[<],', (string)$_REQUEST['plugin']))
+and preg_match(',[<],', (string)$_REQUEST['plugin'])) {
 	$ecran_securite_raison = "plugin";
+}
 if (isset($_REQUEST['exec'])
 and $_REQUEST['exec'] == 'puce_statut'
 and isset($_REQUEST['id'])
-and !intval($_REQUEST['id']))
+and !intval($_REQUEST['id'])) {
 	$ecran_securite_raison = "puce_statut";
+}
 if (isset($_REQUEST['action'])
 and $_REQUEST['action'] == 'configurer') {
 	if (@file_exists('inc_version.php')
@@ -352,21 +366,24 @@ 
 	(function_exists('get_magic_quotes_gpc') and @get_magic_quotes_gpc()) ?
 		stripslashes(serialize($_REQUEST)) : serialize($_REQUEST),
 	chr(0)
-) !== false)
+) !== false) {
 	$ecran_securite_raison = "%00";
+}
 
 /*
  * Bloque les requêtes fond=formulaire_
  */
 if (isset($_REQUEST['fond'])
-and preg_match(',^formulaire_,i', $_REQUEST['fond']))
+and preg_match(',^formulaire_,i', $_REQUEST['fond'])) {
 	$ecran_securite_raison = "fond=formulaire_";
+}
 
 /*
  * Bloque les requêtes du type ?GLOBALS[type_urls]=toto (bug vieux php)
  */
-if (isset($_REQUEST['GLOBALS']))
+if (isset($_REQUEST['GLOBALS'])) {
 	$ecran_securite_raison = "GLOBALS[GLOBALS]";
+}
 
 /*
  * Bloque les requêtes des bots sur:
@@ -379,29 +396,34 @@ 
 		or (isset($_REQUEST['calendrier_annee']) and strpos((string)$_SERVER['REQUEST_URI'], 'debut_') )
 		or (isset($_REQUEST['calendrier_annee']) and preg_match(',[?&]calendrier_annee=.*&calendrier_annee=,', (string)$_SERVER['REQUEST_URI']))
 )
-)
+) {
 	$ecran_securite_raison = "robot agenda/double pagination";
+}
 
 /*
  * Bloque une vieille page de tests de CFG (<1.11)
  * Bloque un XSS sur une page inexistante
  */
 if (isset($_REQUEST['page'])) {
-	if ($_REQUEST['page'] == 'test_cfg')
-		$ecran_securite_raison = "test_cfg";
-	if ($_REQUEST['page'] !== htmlspecialchars((string)$_REQUEST['page']))
-		$ecran_securite_raison = "xsspage";
+	if ($_REQUEST['page'] == 'test_cfg') {
+			$ecran_securite_raison = "test_cfg";
+	}
+	if ($_REQUEST['page'] !== htmlspecialchars((string)$_REQUEST['page'])) {
+			$ecran_securite_raison = "xsspage";
+	}
 	if ($_REQUEST['page'] == '404'
-	and isset($_REQUEST['erreur']))
-		$ecran_securite_raison = "xss404";
-}
+	and isset($_REQUEST['erreur'])) {
+			$ecran_securite_raison = "xss404";
+	}
+	}
 
 /*
  * XSS par array
  */
-foreach (array('var_login') as $var)
-if (isset($_REQUEST[$var]) and is_array($_REQUEST[$var]))
+foreach (array('var_login') as $var) {
+    if (isset($_REQUEST[$var]) and is_array($_REQUEST[$var]))
 	$ecran_securite_raison = "xss ".$var;
+}
 
 /*
  * Parade antivirale contre un cheval de troie
@@ -411,18 +433,21 @@ 
 	function tmp_lkojfghx2($a = 0, $b = 0, $c = 0, $d = 0) {
 		// si jamais on est arrivé ici sur une erreur php
 		// et qu'un autre gestionnaire d'erreur est défini, l'appeller
-		if ($b && $GLOBALS['tmp_xhgfjokl'])
-			call_user_func($GLOBALS['tmp_xhgfjokl'], $a, $b, $c, $d);
+		if ($b && $GLOBALS['tmp_xhgfjokl']) {
+					call_user_func($GLOBALS['tmp_xhgfjokl'], $a, $b, $c, $d);
+		}
 	}
 }
-if (isset($_POST['tmp_lkojfghx3']))
+if (isset($_POST['tmp_lkojfghx3'])) {
 	$ecran_securite_raison = "gumblar";
+}
 
 /*
  * Outils XML mal sécurisés < 2.0.9
  */
-if (isset($_REQUEST['transformer_xml']))
+if (isset($_REQUEST['transformer_xml'])) {
 	$ecran_securite_raison = "transformer_xml";
+}
 
 /*
  * Outils XML mal sécurisés again
@@ -441,11 +466,13 @@ 
  * Sauvegarde mal securisée < 2.0.9
  */
 if (isset($_REQUEST['nom_sauvegarde'])
-and strstr((string)$_REQUEST['nom_sauvegarde'], '/'))
+and strstr((string)$_REQUEST['nom_sauvegarde'], '/')) {
 	$ecran_securite_raison = 'nom_sauvegarde manipulee';
+}
 if (isset($_REQUEST['znom_sauvegarde'])
-and strstr((string)$_REQUEST['znom_sauvegarde'], '/'))
+and strstr((string)$_REQUEST['znom_sauvegarde'], '/')) {
 	$ecran_securite_raison = 'znom_sauvegarde manipulee';
+}
 
 
 /*
@@ -453,8 +480,9 @@ 
  * on vérifie 'page' pour ne pas bloquer ... drupal
  */
 if (isset($_REQUEST['op']) and isset($_REQUEST['page'])
-and $_REQUEST['op'] !== preg_replace('/[^\-\w]/', '', $_REQUEST['op']))
+and $_REQUEST['op'] !== preg_replace('/[^\-\w]/', '', $_REQUEST['op'])) {
 	$ecran_securite_raison = 'op';
+}
 
 /*
  * Forms & Table ne se méfiait pas assez des uploads de fichiers
@@ -462,8 +490,9 @@ 
 if (count($_FILES)){
 	foreach($_FILES as $k => $v){
 		 if (preg_match(',^fichier_\d+$,', $k)
-		 and preg_match(',\.php,i', $v['name']))
-		 	unset($_FILES[$k]);
+		 and preg_match(',\.php,i', $v['name'])) {
+		 		 	unset($_FILES[$k]);
+		 }
 	}
 }
 /*
@@ -480,8 +509,9 @@ 
  * reinstall=oui un peu trop permissif
  */
 if (isset($_REQUEST['reinstall'])
-and $_REQUEST['reinstall'] == 'oui')
+and $_REQUEST['reinstall'] == 'oui') {
 	$ecran_securite_raison = 'reinstall=oui';
+}
 
 /*
  * Pas d'action pendant l'install
@@ -493,24 +523,27 @@ 
 /*
  * Échappement xss referer
  */
-if (isset($_SERVER['HTTP_REFERER']))
+if (isset($_SERVER['HTTP_REFERER'])) {
 	$_SERVER['HTTP_REFERER'] = strtr($_SERVER['HTTP_REFERER'], '<>"\'', '[]##');
+}
 
 
 /*
  * Echappement HTTP_X_FORWARDED_HOST
  */
-if (isset($_SERVER['HTTP_X_FORWARDED_HOST']))
+if (isset($_SERVER['HTTP_X_FORWARDED_HOST'])) {
 	$_SERVER['HTTP_X_FORWARDED_HOST'] = strtr($_SERVER['HTTP_X_FORWARDED_HOST'], "<>?\"\{\}\$'` \r\n", '____________');
+}
 
 
 /*
  * Pas d'erreur dans l'erreur
  */
 if (isset($_REQUEST['var_erreur']) and isset($_REQUEST['page']) and $_REQUEST['page'] === 'login') {
-	if (strlen($_REQUEST['var_erreur']) !== strcspn($_REQUEST['var_erreur'], '<>'))
-		$ecran_securite_raison = 'var_erreur incorrecte';
-}
+	if (strlen($_REQUEST['var_erreur']) !== strcspn($_REQUEST['var_erreur'], '<>')) {
+			$ecran_securite_raison = 'var_erreur incorrecte';
+	}
+	}
 
 
 /*
@@ -521,9 +554,10 @@ 
 	or isset($_REQUEST['var_memotri'])
 ){
 	$zzzz = implode("", array_keys($_REQUEST));
-	if (strlen($zzzz) != strcspn($zzzz, '<>"\''))
-		$ecran_securite_raison = 'Cle incorrecte en $_REQUEST';
-}
+	if (strlen($zzzz) != strcspn($zzzz, '<>"\'')) {
+			$ecran_securite_raison = 'Cle incorrecte en $_REQUEST';
+	}
+	}
 
 /*
  * Injection par connect
@@ -572,8 +606,9 @@ 
 /*
  * Bloque les bots quand le load déborde
  */
-if (!defined('_ECRAN_SECURITE_LOAD'))
+if (!defined('_ECRAN_SECURITE_LOAD')) {
 	define('_ECRAN_SECURITE_LOAD', 4);
+}
 
 if (
 	defined('_ECRAN_SECURITE_LOAD')