spip / SPIP

ecrire/auth/spip.php

Indentation +331 added lines, -331 removed lines

@@ -17,7 +17,7 @@ 
  **/
 
 if (!defined('_ECRIRE_INC_VERSION')) {
-	return;
+    return;
 }
 
 /**
@@ -32,110 +32,110 @@ 
  */
 function auth_spip_dist($login, $pass, $serveur = '', $phpauth = false) {
 
-	// retrouver le login
-	$login = auth_spip_retrouver_login($login);
-	// login inconnu, n'allons pas plus loin
-	if (!$login) {
-		return [];
-	}
-
-	$md5pass = '';
-	$shapass = $shanext = '';
-
-	if (preg_match(',^\{([0-9a-f]{64});([0-9a-f]{64})\}$,i', $pass, $regs)) {
-		$shapass = $regs[1];
-		$shanext = $regs[2];
-	} // compat avec une base mixte md5/sha256 : le js a envoye les 2 hash
-	elseif (preg_match(',^\{([0-9a-f]{64});([0-9a-f]{64});([0-9a-f]{32});([0-9a-f]{32})\}$,i', $pass, $regs)) {
-		$shapass = $regs[1];
-		$shanext = $regs[2];
-		$md5pass = $regs[3];
-		//$md5next = $regs[4];
-	} // si envoi non crypte, crypter maintenant
-	elseif ($pass) {
-		$row = sql_fetsel(
-			'alea_actuel, alea_futur',
-			'spip_auteurs',
-			'login=' . sql_quote($login, $serveur, 'text'),
-			'',
-			'',
-			'',
-			'',
-			$serveur
-		);
-
-		if ($row) {
-			include_spip('auth/sha256.inc');
-			$shapass = spip_sha256($row['alea_actuel'] . $pass);
-			$shanext = spip_sha256($row['alea_futur'] . $pass);
-			$md5pass = md5($row['alea_actuel'] . $pass);
-		}
-	}
-
-	// login inexistant ou mot de passe vide
-	if (!$shapass and !$md5pass) {
-		return [];
-	}
-
-	$row = sql_fetsel(
-		'*',
-		'spip_auteurs',
-		'login=' . sql_quote($login, $serveur, 'text') . ' AND pass=' . sql_quote(
-			$shapass,
-			$serveur,
-			'text'
-		) . " AND statut<>'5poubelle'",
-		'',
-		'',
-		'',
-		'',
-		$serveur
-	);
-
-	// compat avec les anciennes bases en md5
-	if (!$row and $md5pass) {
-		$row = sql_fetsel(
-			'*',
-			'spip_auteurs',
-			'login=' . sql_quote($login, $serveur, 'text') . ' AND pass=' . sql_quote(
-				$md5pass,
-				$serveur,
-				'text'
-			) . " AND statut<>'5poubelle'",
-			'',
-			'',
-			'',
-			'',
-			$serveur
-		);
-	}
-
-	// login/mot de passe incorrect
-	if (!$row) {
-		return [];
-	}
-
-	// fait tourner le codage du pass dans la base
-	// sauf si phpauth : cela reviendrait a changer l'alea a chaque hit, et aucune action verifiable par securiser_action()
-	if ($shanext and !$phpauth) {
-		include_spip('inc/acces'); // pour creer_uniqid
-		@sql_update('spip_auteurs', [
-			'alea_actuel' => 'alea_futur',
-			'pass' => sql_quote($shanext, $serveur, 'text'),
-			'alea_futur' => sql_quote(creer_uniqid(), $serveur, 'text')
-		], 'id_auteur=' . $row['id_auteur'] . ' AND pass IN (' . sql_quote(
-			$shapass,
-			$serveur,
-			'text'
-		) . ', ' . sql_quote($md5pass, $serveur, 'text') . ')', '', $serveur);
-		// En profiter pour verifier la securite de tmp/
-		// Si elle ne fonctionne pas a l'installation, prevenir
-		if (!verifier_htaccess(_DIR_TMP) and defined('_ECRIRE_INSTALL')) {
-			return false;
-		}
-	}
-
-	return $row;
+    // retrouver le login
+    $login = auth_spip_retrouver_login($login);
+    // login inconnu, n'allons pas plus loin
+    if (!$login) {
+        return [];
+    }
+
+    $md5pass = '';
+    $shapass = $shanext = '';
+
+    if (preg_match(',^\{([0-9a-f]{64});([0-9a-f]{64})\}$,i', $pass, $regs)) {
+        $shapass = $regs[1];
+        $shanext = $regs[2];
+    } // compat avec une base mixte md5/sha256 : le js a envoye les 2 hash
+    elseif (preg_match(',^\{([0-9a-f]{64});([0-9a-f]{64});([0-9a-f]{32});([0-9a-f]{32})\}$,i', $pass, $regs)) {
+        $shapass = $regs[1];
+        $shanext = $regs[2];
+        $md5pass = $regs[3];
+        //$md5next = $regs[4];
+    } // si envoi non crypte, crypter maintenant
+    elseif ($pass) {
+        $row = sql_fetsel(
+            'alea_actuel, alea_futur',
+            'spip_auteurs',
+            'login=' . sql_quote($login, $serveur, 'text'),
+            '',
+            '',
+            '',
+            '',
+            $serveur
+        );
+
+        if ($row) {
+            include_spip('auth/sha256.inc');
+            $shapass = spip_sha256($row['alea_actuel'] . $pass);
+            $shanext = spip_sha256($row['alea_futur'] . $pass);
+            $md5pass = md5($row['alea_actuel'] . $pass);
+        }
+    }
+
+    // login inexistant ou mot de passe vide
+    if (!$shapass and !$md5pass) {
+        return [];
+    }
+
+    $row = sql_fetsel(
+        '*',
+        'spip_auteurs',
+        'login=' . sql_quote($login, $serveur, 'text') . ' AND pass=' . sql_quote(
+            $shapass,
+            $serveur,
+            'text'
+        ) . " AND statut<>'5poubelle'",
+        '',
+        '',
+        '',
+        '',
+        $serveur
+    );
+
+    // compat avec les anciennes bases en md5
+    if (!$row and $md5pass) {
+        $row = sql_fetsel(
+            '*',
+            'spip_auteurs',
+            'login=' . sql_quote($login, $serveur, 'text') . ' AND pass=' . sql_quote(
+                $md5pass,
+                $serveur,
+                'text'
+            ) . " AND statut<>'5poubelle'",
+            '',
+            '',
+            '',
+            '',
+            $serveur
+        );
+    }
+
+    // login/mot de passe incorrect
+    if (!$row) {
+        return [];
+    }
+
+    // fait tourner le codage du pass dans la base
+    // sauf si phpauth : cela reviendrait a changer l'alea a chaque hit, et aucune action verifiable par securiser_action()
+    if ($shanext and !$phpauth) {
+        include_spip('inc/acces'); // pour creer_uniqid
+        @sql_update('spip_auteurs', [
+            'alea_actuel' => 'alea_futur',
+            'pass' => sql_quote($shanext, $serveur, 'text'),
+            'alea_futur' => sql_quote(creer_uniqid(), $serveur, 'text')
+        ], 'id_auteur=' . $row['id_auteur'] . ' AND pass IN (' . sql_quote(
+            $shapass,
+            $serveur,
+            'text'
+        ) . ', ' . sql_quote($md5pass, $serveur, 'text') . ')', '', $serveur);
+        // En profiter pour verifier la securite de tmp/
+        // Si elle ne fonctionne pas a l'installation, prevenir
+        if (!verifier_htaccess(_DIR_TMP) and defined('_ECRIRE_INSTALL')) {
+            return false;
+        }
+    }
+
+    return $row;
 }
 
 /**
@@ -145,41 +145,41 @@ 
  * @return array
  */
 function auth_spip_formulaire_login($flux) {
-	// faut il encore envoyer md5 ?
-	// on regarde si il reste des pass md5 en base pour des auteurs en statut pas poubelle
-	// les hash md5 ont une longueur 32, les sha 64
-	// en evitant une requete sql a chaque affichage du formulaire login sans session
-	// (perf issue pour les sites qui mettent le formulaire de login sur la home)
-	$compat_md5 = false;
-	if (!isset($GLOBALS['meta']['sha_256_only']) or _request('var_mode')) {
-		$compat_md5 = sql_countsel('spip_auteurs', "length(pass)=32 AND statut<>'poubelle'");
-		if ($compat_md5 and isset($GLOBALS['meta']['sha_256_only'])) {
-			effacer_meta('sha_256_only');
-		}
-		if (!$compat_md5) {
-			ecrire_meta('sha_256_only', 'oui');
-		}
-	}
-
-	// javascript qui gere la securite du login en evitant de faire circuler le pass en clair
-	$flux['data'] .=
-		($compat_md5 ? '<script type="text/javascript" src="' . _DIR_JAVASCRIPT . 'md5.js"></script>' : '')
-		. '<script type="text/javascript" src="' . _DIR_JAVASCRIPT . 'login-sha-min.js"></script>'
-		. '<script type="text/javascript">/*<![CDATA[*/'
-		. "var login_info={'alea_actuel':'" . $flux['args']['contexte']['_alea_actuel'] . "',"
-		. "'alea_futur':'" . $flux['args']['contexte']['_alea_futur'] . "',"
-		. "'login':'" . $flux['args']['contexte']['var_login'] . "',"
-		. "'page_auteur': '" . generer_url_public('informer_auteur') . "',"
-		. "'informe_auteur_en_cours':false,"
-		. "'attente_informe':0,"
-		. "'compat_md5':" . ($compat_md5 ? 'true' : 'false') . '};'
-		. "jQuery(function(){
+    // faut il encore envoyer md5 ?
+    // on regarde si il reste des pass md5 en base pour des auteurs en statut pas poubelle
+    // les hash md5 ont une longueur 32, les sha 64
+    // en evitant une requete sql a chaque affichage du formulaire login sans session
+    // (perf issue pour les sites qui mettent le formulaire de login sur la home)
+    $compat_md5 = false;
+    if (!isset($GLOBALS['meta']['sha_256_only']) or _request('var_mode')) {
+        $compat_md5 = sql_countsel('spip_auteurs', "length(pass)=32 AND statut<>'poubelle'");
+        if ($compat_md5 and isset($GLOBALS['meta']['sha_256_only'])) {
+            effacer_meta('sha_256_only');
+        }
+        if (!$compat_md5) {
+            ecrire_meta('sha_256_only', 'oui');
+        }
+    }
+
+    // javascript qui gere la securite du login en evitant de faire circuler le pass en clair
+    $flux['data'] .=
+        ($compat_md5 ? '<script type="text/javascript" src="' . _DIR_JAVASCRIPT . 'md5.js"></script>' : '')
+        . '<script type="text/javascript" src="' . _DIR_JAVASCRIPT . 'login-sha-min.js"></script>'
+        . '<script type="text/javascript">/*<![CDATA[*/'
+        . "var login_info={'alea_actuel':'" . $flux['args']['contexte']['_alea_actuel'] . "',"
+        . "'alea_futur':'" . $flux['args']['contexte']['_alea_futur'] . "',"
+        . "'login':'" . $flux['args']['contexte']['var_login'] . "',"
+        . "'page_auteur': '" . generer_url_public('informer_auteur') . "',"
+        . "'informe_auteur_en_cours':false,"
+        . "'attente_informe':0,"
+        . "'compat_md5':" . ($compat_md5 ? 'true' : 'false') . '};'
+        . "jQuery(function(){
 	jQuery('#var_login').change(actualise_auteur);
 	jQuery('form#formulaire_login').submit(login_submit);
 });"
-		. '/*]]>*/</script>';
+        . '/*]]>*/</script>';
 
-	return $flux;
+    return $flux;
 }
 
 
@@ -191,10 +191,10 @@ 
  *   toujours true pour un auteur cree dans SPIP
  */
 function auth_spip_autoriser_modifier_login($serveur = '') {
-	if (strlen($serveur)) {
-		return false;
-	} // les fonctions d'ecriture sur base distante sont encore incompletes
-	return true;
+    if (strlen($serveur)) {
+        return false;
+    } // les fonctions d'ecriture sur base distante sont encore incompletes
+    return true;
 }
 
 /**
@@ -208,25 +208,25 @@ 
  *  message d'erreur si login non valide, chaine vide sinon
  */
 function auth_spip_verifier_login($new_login, $id_auteur = 0, $serveur = '') {
-	// login et mot de passe
-	if (strlen($new_login)) {
-		if (strlen($new_login) < _LOGIN_TROP_COURT) {
-			return _T('info_login_trop_court_car_pluriel', ['nb' => _LOGIN_TROP_COURT]);
-		} else {
-			$n = sql_countsel(
-				'spip_auteurs',
-				'login=' . sql_quote($new_login) . ' AND id_auteur!=' . intval($id_auteur) . " AND statut!='5poubelle'",
-				'',
-				'',
-				$serveur
-			);
-			if ($n) {
-				return _T('info_login_existant');
-			}
-		}
-	}
-
-	return '';
+    // login et mot de passe
+    if (strlen($new_login)) {
+        if (strlen($new_login) < _LOGIN_TROP_COURT) {
+            return _T('info_login_trop_court_car_pluriel', ['nb' => _LOGIN_TROP_COURT]);
+        } else {
+            $n = sql_countsel(
+                'spip_auteurs',
+                'login=' . sql_quote($new_login) . ' AND id_auteur!=' . intval($id_auteur) . " AND statut!='5poubelle'",
+                '',
+                '',
+                $serveur
+            );
+            if ($n) {
+                return _T('info_login_existant');
+            }
+        }
+    }
+
+    return '';
 }
 
 /**
@@ -238,41 +238,41 @@ 
  * @return bool
  */
 function auth_spip_modifier_login($new_login, $id_auteur, $serveur = '') {
-	if (is_null($new_login) or auth_spip_verifier_login($new_login, $id_auteur, $serveur) != '') {
-		return false;
-	}
-	if (
-		!$id_auteur = intval($id_auteur)
-		or !$auteur = sql_fetsel('login', 'spip_auteurs', 'id_auteur=' . intval($id_auteur), '', '', '', '', $serveur)
-	) {
-		return false;
-	}
-	if ($new_login == $auteur['login']) {
-		return true;
-	} // on a rien fait mais c'est bon !
-
-	include_spip('action/editer_auteur');
-
-	// vider le login des auteurs a la poubelle qui avaient ce meme login
-	if (strlen($new_login)) {
-		$anciens = sql_allfetsel(
-			'id_auteur',
-			'spip_auteurs',
-			'login=' . sql_quote($new_login, $serveur, 'text') . " AND statut='5poubelle'",
-			'',
-			'',
-			'',
-			'',
-			$serveur
-		);
-		while ($row = array_pop($anciens)) {
-			auteur_modifier($row['id_auteur'], ['login' => ''], true); // manque la gestion de $serveur
-		}
-	}
-
-	auteur_modifier($id_auteur, ['login' => $new_login], true); // manque la gestion de $serveur
-
-	return true;
+    if (is_null($new_login) or auth_spip_verifier_login($new_login, $id_auteur, $serveur) != '') {
+        return false;
+    }
+    if (
+        !$id_auteur = intval($id_auteur)
+        or !$auteur = sql_fetsel('login', 'spip_auteurs', 'id_auteur=' . intval($id_auteur), '', '', '', '', $serveur)
+    ) {
+        return false;
+    }
+    if ($new_login == $auteur['login']) {
+        return true;
+    } // on a rien fait mais c'est bon !
+
+    include_spip('action/editer_auteur');
+
+    // vider le login des auteurs a la poubelle qui avaient ce meme login
+    if (strlen($new_login)) {
+        $anciens = sql_allfetsel(
+            'id_auteur',
+            'spip_auteurs',
+            'login=' . sql_quote($new_login, $serveur, 'text') . " AND statut='5poubelle'",
+            '',
+            '',
+            '',
+            '',
+            $serveur
+        );
+        while ($row = array_pop($anciens)) {
+            auteur_modifier($row['id_auteur'], ['login' => ''], true); // manque la gestion de $serveur
+        }
+    }
+
+    auteur_modifier($id_auteur, ['login' => $new_login], true); // manque la gestion de $serveur
+
+    return true;
 }
 
 /**
@@ -284,44 +284,44 @@ 
  * @return string
  */
 function auth_spip_retrouver_login($login, $serveur = '') {
-	if (!strlen($login)) {
-		return null;
-	} // pas la peine de requeter
-	$l = sql_quote($login, $serveur, 'text');
-	if (
-		$r = sql_getfetsel(
-			'login',
-			'spip_auteurs',
-			"statut<>'5poubelle'" .
-			' AND (length(pass)>0)' .
-			" AND (login=$l)",
-			'',
-			'',
-			'',
-			'',
-			$serveur
-		)
-	) {
-		return $r;
-	}
-	// Si pas d'auteur avec ce login
-	// regarder s'il a saisi son nom ou son mail.
-	// Ne pas fusionner avec la requete precedente
-	// car un nom peut etre homonyme d'un autre login
-	else {
-		return sql_getfetsel(
-			'login',
-			'spip_auteurs',
-			"statut<>'5poubelle'" .
-			' AND (length(pass)>0)' .
-			" AND (login<>'' AND (nom=$l OR email=$l))",
-			'',
-			'',
-			'',
-			'',
-			$serveur
-		);
-	}
+    if (!strlen($login)) {
+        return null;
+    } // pas la peine de requeter
+    $l = sql_quote($login, $serveur, 'text');
+    if (
+        $r = sql_getfetsel(
+            'login',
+            'spip_auteurs',
+            "statut<>'5poubelle'" .
+            ' AND (length(pass)>0)' .
+            " AND (login=$l)",
+            '',
+            '',
+            '',
+            '',
+            $serveur
+        )
+    ) {
+        return $r;
+    }
+    // Si pas d'auteur avec ce login
+    // regarder s'il a saisi son nom ou son mail.
+    // Ne pas fusionner avec la requete precedente
+    // car un nom peut etre homonyme d'un autre login
+    else {
+        return sql_getfetsel(
+            'login',
+            'spip_auteurs',
+            "statut<>'5poubelle'" .
+            ' AND (length(pass)>0)' .
+            " AND (login<>'' AND (nom=$l OR email=$l))",
+            '',
+            '',
+            '',
+            '',
+            $serveur
+        );
+    }
 }
 
 
@@ -339,11 +339,11 @@ 
  */
 function auth_spip_informer_login($infos, $row, $serveur = '') {
 
-	// pour la methode SPIP on a besoin des alea en plus pour encoder le pass avec
-	$infos['alea_actuel'] = $row['alea_actuel'];
-	$infos['alea_futur'] = $row['alea_futur'];
+    // pour la methode SPIP on a besoin des alea en plus pour encoder le pass avec
+    $infos['alea_actuel'] = $row['alea_actuel'];
+    $infos['alea_futur'] = $row['alea_futur'];
 
-	return $infos;
+    return $infos;
 }
 
 /**
@@ -354,10 +354,10 @@ 
  *  toujours true pour un auteur cree dans SPIP
  */
 function auth_spip_autoriser_modifier_pass($serveur = '') {
-	if (strlen($serveur)) {
-		return false;
-	} // les fonctions d'ecriture sur base distante sont encore incompletes
-	return true;
+    if (strlen($serveur)) {
+        return false;
+    } // les fonctions d'ecriture sur base distante sont encore incompletes
+    return true;
 }
 
 
@@ -378,12 +378,12 @@ 
  *  message d'erreur si login non valide, chaine vide sinon
  */
 function auth_spip_verifier_pass($login, $new_pass, $id_auteur = 0, $serveur = '') {
-	// login et mot de passe
-	if (strlen($new_pass) < _PASS_LONGUEUR_MINI) {
-		return _T('info_passe_trop_court_car_pluriel', ['nb' => _PASS_LONGUEUR_MINI]);
-	}
+    // login et mot de passe
+    if (strlen($new_pass) < _PASS_LONGUEUR_MINI) {
+        return _T('info_passe_trop_court_car_pluriel', ['nb' => _PASS_LONGUEUR_MINI]);
+    }
 
-	return '';
+    return '';
 }
 
 /**
@@ -397,38 +397,38 @@ 
  * @return bool
  */
 function auth_spip_modifier_pass($login, $new_pass, $id_auteur, $serveur = '') {
-	if (is_null($new_pass) or auth_spip_verifier_pass($login, $new_pass, $id_auteur, $serveur) != '') {
-		return false;
-	}
-
-	if (
-		!$id_auteur = intval($id_auteur)
-		or !sql_fetsel('login', 'spip_auteurs', 'id_auteur=' . intval($id_auteur), '', '', '', '', $serveur)
-	) {
-		return false;
-	}
-
-	$c = [];
-	include_spip('inc/acces');
-	include_spip('auth/sha256.inc');
-	if ($generer_htpass = charger_fonction('generer_htpass', 'inc', true)) {
-		$htpass = $generer_htpass($new_pass);
-	} else {
-		$htpass = '';
-	}
-	$alea_actuel = creer_uniqid();
-	$alea_futur = creer_uniqid();
-	$pass = spip_sha256($alea_actuel . $new_pass);
-	$c['pass'] = $pass;
-	$c['htpass'] = $htpass;
-	$c['alea_actuel'] = $alea_actuel;
-	$c['alea_futur'] = $alea_futur;
-	$c['low_sec'] = '';
-
-	include_spip('action/editer_auteur');
-	auteur_modifier($id_auteur, $c, true); // manque la gestion de $serveur
-
-	return true; // on a bien modifie le pass
+    if (is_null($new_pass) or auth_spip_verifier_pass($login, $new_pass, $id_auteur, $serveur) != '') {
+        return false;
+    }
+
+    if (
+        !$id_auteur = intval($id_auteur)
+        or !sql_fetsel('login', 'spip_auteurs', 'id_auteur=' . intval($id_auteur), '', '', '', '', $serveur)
+    ) {
+        return false;
+    }
+
+    $c = [];
+    include_spip('inc/acces');
+    include_spip('auth/sha256.inc');
+    if ($generer_htpass = charger_fonction('generer_htpass', 'inc', true)) {
+        $htpass = $generer_htpass($new_pass);
+    } else {
+        $htpass = '';
+    }
+    $alea_actuel = creer_uniqid();
+    $alea_futur = creer_uniqid();
+    $pass = spip_sha256($alea_actuel . $new_pass);
+    $c['pass'] = $pass;
+    $c['htpass'] = $htpass;
+    $c['alea_actuel'] = $alea_actuel;
+    $c['alea_futur'] = $alea_futur;
+    $c['low_sec'] = '';
+
+    include_spip('action/editer_auteur');
+    auteur_modifier($id_auteur, $c, true); // manque la gestion de $serveur
+
+    return true; // on a bien modifie le pass
 }
 
 /**
@@ -442,58 +442,58 @@ 
  * @return void
  */
 function auth_spip_synchroniser_distant($id_auteur, $champs, $options = [], $serveur = '') {
-	// ne rien faire pour une base distante : on ne sait pas regenerer les htaccess
-	if (strlen($serveur)) {
-		return;
-	}
-	// si un login, pass ou statut a ete modifie
-	// regenerer les fichier htpass
-	if (
-		isset($champs['login'])
-		or isset($champs['pass'])
-		or isset($champs['statut'])
-		or (isset($options['all']) and $options['all'])
-	) {
-		$htaccess = _DIR_RESTREINT . _ACCESS_FILE_NAME;
-		$htpasswd = _DIR_TMP . _AUTH_USER_FILE;
-
-		// Cette variable de configuration peut etre posee par un plugin
-		// par exemple acces_restreint ;
-		// si .htaccess existe, outrepasser spip_meta
-		if (
-			(!isset($GLOBALS['meta']['creer_htpasswd']) or ($GLOBALS['meta']['creer_htpasswd'] != 'oui'))
-			and !@file_exists($htaccess)
-		) {
-			spip_unlink($htpasswd);
-			spip_unlink($htpasswd . '-admin');
-
-			return;
-		}
-
-		# remarque : ici on laisse passer les "nouveau" de maniere a leur permettre
-		# de devenir redacteur le cas echeant (auth http)... a nettoyer
-		// attention, il faut au prealable se connecter a la base (necessaire car utilise par install)
-
-		$p1 = ''; // login:htpass pour tous
-		$p2 = ''; // login:htpass pour les admins
-		$s = sql_select(
-			'login, htpass, statut',
-			'spip_auteurs',
-			sql_in('statut', ['1comite', '0minirezo', 'nouveau'])
-		);
-		while ($t = sql_fetch($s)) {
-			if (strlen($t['login']) and strlen($t['htpass'])) {
-				$p1 .= $t['login'] . ':' . $t['htpass'] . "\n";
-				if ($t['statut'] == '0minirezo') {
-					$p2 .= $t['login'] . ':' . $t['htpass'] . "\n";
-				}
-			}
-		}
-		sql_free($s);
-		if ($p1) {
-			ecrire_fichier($htpasswd, $p1);
-			ecrire_fichier($htpasswd . '-admin', $p2);
-			spip_log("Ecriture de $htpasswd et $htpasswd-admin");
-		}
-	}
+    // ne rien faire pour une base distante : on ne sait pas regenerer les htaccess
+    if (strlen($serveur)) {
+        return;
+    }
+    // si un login, pass ou statut a ete modifie
+    // regenerer les fichier htpass
+    if (
+        isset($champs['login'])
+        or isset($champs['pass'])
+        or isset($champs['statut'])
+        or (isset($options['all']) and $options['all'])
+    ) {
+        $htaccess = _DIR_RESTREINT . _ACCESS_FILE_NAME;
+        $htpasswd = _DIR_TMP . _AUTH_USER_FILE;
+
+        // Cette variable de configuration peut etre posee par un plugin
+        // par exemple acces_restreint ;
+        // si .htaccess existe, outrepasser spip_meta
+        if (
+            (!isset($GLOBALS['meta']['creer_htpasswd']) or ($GLOBALS['meta']['creer_htpasswd'] != 'oui'))
+            and !@file_exists($htaccess)
+        ) {
+            spip_unlink($htpasswd);
+            spip_unlink($htpasswd . '-admin');
+
+            return;
+        }
+
+        # remarque : ici on laisse passer les "nouveau" de maniere a leur permettre
+        # de devenir redacteur le cas echeant (auth http)... a nettoyer
+        // attention, il faut au prealable se connecter a la base (necessaire car utilise par install)
+
+        $p1 = ''; // login:htpass pour tous
+        $p2 = ''; // login:htpass pour les admins
+        $s = sql_select(
+            'login, htpass, statut',
+            'spip_auteurs',
+            sql_in('statut', ['1comite', '0minirezo', 'nouveau'])
+        );
+        while ($t = sql_fetch($s)) {
+            if (strlen($t['login']) and strlen($t['htpass'])) {
+                $p1 .= $t['login'] . ':' . $t['htpass'] . "\n";
+                if ($t['statut'] == '0minirezo') {
+                    $p2 .= $t['login'] . ':' . $t['htpass'] . "\n";
+                }
+            }
+        }
+        sql_free($s);
+        if ($p1) {
+            ecrire_fichier($htpasswd, $p1);
+            ecrire_fichier($htpasswd . '-admin', $p2);
+            spip_log("Ecriture de $htpasswd et $htpasswd-admin");
+        }
+    }
 }

ecrire/install/etape_3b.php

Indentation +139 added lines, -139 removed lines

@@ -11,148 +11,148 @@
 \***************************************************************************/
 
 if (!defined('_ECRIRE_INC_VERSION')) {
-	return;
+    return;
 }
 
 include_spip('inc/headers');
 
 function install_etape_3b_dist() {
-	$login = _request('login');
-	$email = _request('email');
-	$nom = _request('nom');
-	$pass = _request('pass');
-	$pass_verif = _request('pass_verif');
-
-	$server_db = defined('_INSTALL_SERVER_DB')
-		? _INSTALL_SERVER_DB
-		: _request('server_db');
-
-	if (!defined('_PASS_LONGUEUR_MINI')) {
-		define('_PASS_LONGUEUR_MINI', 6);
-	}
-	if (!defined('_LOGIN_TROP_COURT')) {
-		define('_LOGIN_TROP_COURT', 4);
-	}
-	if ($login) {
-		$echec = ($pass != $pass_verif) ?
-			_T('info_passes_identiques')
-			: ((strlen($pass) < _PASS_LONGUEUR_MINI) ?
-				_T('info_passe_trop_court_car_pluriel', ['nb' => _PASS_LONGUEUR_MINI])
-				: ((strlen($login) < _LOGIN_TROP_COURT) ?
-					_T('info_login_trop_court')
-					: ''));
-		include_spip('inc/filtres');
-		if (!$echec and $email and !email_valide($email)) {
-			$echec = _T('form_email_non_valide');
-		}
-		if ($echec) {
-			echo minipres(
-				'AUTO',
-				info_progression_etape(3, 'etape_', 'install/', true) .
-				"<div class='error'><h3>$echec</h3>\n" .
-				'<p>' . _T('avis_connexion_echec_2') . '</p>' .
-				'</div>'
-			);
-			exit;
-		}
-	}
-
-	if (@file_exists(_FILE_CHMOD_TMP)) {
-		include(_FILE_CHMOD_TMP);
-	} else {
-		redirige_url_ecrire('install');
-	}
-
-	if (!@file_exists(_FILE_CONNECT_TMP)) {
-		redirige_url_ecrire('install');
-	}
-
-	# maintenant on connait le vrai charset du site s'il est deja configure
-	# sinon par defaut lire_meta reglera _DEFAULT_CHARSET
-	# (les donnees arrivent de toute facon postees en _DEFAULT_CHARSET)
-
-	lire_metas();
-	if ($login) {
-		include_spip('inc/charsets');
-
-		$nom = (importer_charset($nom, _DEFAULT_CHARSET));
-		$login = (importer_charset($login, _DEFAULT_CHARSET));
-		$email = (importer_charset($email, _DEFAULT_CHARSET));
-		# pour le passwd, bizarrement il faut le convertir comme s'il avait
-		# ete tape en iso-8859-1 ; car c'est en fait ce que voit md5.js
-		$pass = unicode2charset(utf_8_to_unicode($pass), 'iso-8859-1');
-		include_spip('auth/sha256.inc');
-		include_spip('inc/acces');
-		if ($generer_htpass = charger_fonction('generer_htpass', 'inc', true)) {
-			$htpass = $generer_htpass($pass);
-		} else {
-			$htpass = '';
-		}
-		$alea_actuel = creer_uniqid();
-		$alea_futur = creer_uniqid();
-		$shapass = spip_sha256($alea_actuel . $pass);
-		// prelablement, creer le champ webmestre si il n'existe pas (install neuve
-		// sur une vieille base
-		$t = sql_showtable('spip_auteurs', true);
-		if (!isset($t['field']['webmestre'])) {
-			@sql_alter("TABLE spip_auteurs ADD webmestre varchar(3)  DEFAULT 'non' NOT NULL");
-		}
-
-		$id_auteur = sql_getfetsel('id_auteur', 'spip_auteurs', 'login=' . sql_quote($login));
-		if ($id_auteur !== null) {
-			sql_updateq('spip_auteurs', [
-				'nom' => $nom,
-				'email' => $email,
-				'login' => $login,
-				'pass' => $shapass,
-				'alea_actuel' => $alea_actuel,
-				'alea_futur' => $alea_futur,
-				'htpass' => $htpass,
-				'statut' => '0minirezo'
-			], "id_auteur=$id_auteur");
-		} else {
-			$id_auteur = sql_insertq('spip_auteurs', [
-				'nom' => $nom,
-				'email' => $email,
-				'login' => $login,
-				'pass' => $shapass,
-				'htpass' => $htpass,
-				'alea_actuel' => $alea_actuel,
-				'alea_futur' => $alea_futur,
-				'statut' => '0minirezo'
-			]);
-		}
-		// le passer webmestre separrement du reste, au cas ou l'alter n'aurait pas fonctionne
-		@sql_updateq('spip_auteurs', ['webmestre' => 'oui'], "id_auteur=$id_auteur");
-
-		// inserer email comme email webmaster principal
-		// (sauf s'il est vide: cas de la re-installation)
-		if ($email) {
-			ecrire_meta('email_webmaster', $email);
-		}
-
-		// Connecter directement celui qui vient de (re)donner son login
-		// mais sans cookie d'admin ni connexion longue
-		include_spip('inc/auth');
-		if (
-			!$auteur = auth_identifier_login($login, $pass)
-			or !auth_loger($auteur, true)
-		) {
-			spip_log("login automatique impossible $auth_spip $session" . count($row));
-		}
-	}
-
-	// installer les metas
-	$config = charger_fonction('config', 'inc');
-	$config();
-
-	// activer les plugins
-	// leur installation ne peut pas se faire sur le meme hit, il faudra donc
-	// poursuivre au hit suivant
-	include_spip('inc/plugin');
-	actualise_plugins_actifs();
-
-
-	include_spip('inc/distant');
-	redirige_par_entete(parametre_url(self(), 'etape', '4', '&'));
+    $login = _request('login');
+    $email = _request('email');
+    $nom = _request('nom');
+    $pass = _request('pass');
+    $pass_verif = _request('pass_verif');
+
+    $server_db = defined('_INSTALL_SERVER_DB')
+        ? _INSTALL_SERVER_DB
+        : _request('server_db');
+
+    if (!defined('_PASS_LONGUEUR_MINI')) {
+        define('_PASS_LONGUEUR_MINI', 6);
+    }
+    if (!defined('_LOGIN_TROP_COURT')) {
+        define('_LOGIN_TROP_COURT', 4);
+    }
+    if ($login) {
+        $echec = ($pass != $pass_verif) ?
+            _T('info_passes_identiques')
+            : ((strlen($pass) < _PASS_LONGUEUR_MINI) ?
+                _T('info_passe_trop_court_car_pluriel', ['nb' => _PASS_LONGUEUR_MINI])
+                : ((strlen($login) < _LOGIN_TROP_COURT) ?
+                    _T('info_login_trop_court')
+                    : ''));
+        include_spip('inc/filtres');
+        if (!$echec and $email and !email_valide($email)) {
+            $echec = _T('form_email_non_valide');
+        }
+        if ($echec) {
+            echo minipres(
+                'AUTO',
+                info_progression_etape(3, 'etape_', 'install/', true) .
+                "<div class='error'><h3>$echec</h3>\n" .
+                '<p>' . _T('avis_connexion_echec_2') . '</p>' .
+                '</div>'
+            );
+            exit;
+        }
+    }
+
+    if (@file_exists(_FILE_CHMOD_TMP)) {
+        include(_FILE_CHMOD_TMP);
+    } else {
+        redirige_url_ecrire('install');
+    }
+
+    if (!@file_exists(_FILE_CONNECT_TMP)) {
+        redirige_url_ecrire('install');
+    }
+
+    # maintenant on connait le vrai charset du site s'il est deja configure
+    # sinon par defaut lire_meta reglera _DEFAULT_CHARSET
+    # (les donnees arrivent de toute facon postees en _DEFAULT_CHARSET)
+
+    lire_metas();
+    if ($login) {
+        include_spip('inc/charsets');
+
+        $nom = (importer_charset($nom, _DEFAULT_CHARSET));
+        $login = (importer_charset($login, _DEFAULT_CHARSET));
+        $email = (importer_charset($email, _DEFAULT_CHARSET));
+        # pour le passwd, bizarrement il faut le convertir comme s'il avait
+        # ete tape en iso-8859-1 ; car c'est en fait ce que voit md5.js
+        $pass = unicode2charset(utf_8_to_unicode($pass), 'iso-8859-1');
+        include_spip('auth/sha256.inc');
+        include_spip('inc/acces');
+        if ($generer_htpass = charger_fonction('generer_htpass', 'inc', true)) {
+            $htpass = $generer_htpass($pass);
+        } else {
+            $htpass = '';
+        }
+        $alea_actuel = creer_uniqid();
+        $alea_futur = creer_uniqid();
+        $shapass = spip_sha256($alea_actuel . $pass);
+        // prelablement, creer le champ webmestre si il n'existe pas (install neuve
+        // sur une vieille base
+        $t = sql_showtable('spip_auteurs', true);
+        if (!isset($t['field']['webmestre'])) {
+            @sql_alter("TABLE spip_auteurs ADD webmestre varchar(3)  DEFAULT 'non' NOT NULL");
+        }
+
+        $id_auteur = sql_getfetsel('id_auteur', 'spip_auteurs', 'login=' . sql_quote($login));
+        if ($id_auteur !== null) {
+            sql_updateq('spip_auteurs', [
+                'nom' => $nom,
+                'email' => $email,
+                'login' => $login,
+                'pass' => $shapass,
+                'alea_actuel' => $alea_actuel,
+                'alea_futur' => $alea_futur,
+                'htpass' => $htpass,
+                'statut' => '0minirezo'
+            ], "id_auteur=$id_auteur");
+        } else {
+            $id_auteur = sql_insertq('spip_auteurs', [
+                'nom' => $nom,
+                'email' => $email,
+                'login' => $login,
+                'pass' => $shapass,
+                'htpass' => $htpass,
+                'alea_actuel' => $alea_actuel,
+                'alea_futur' => $alea_futur,
+                'statut' => '0minirezo'
+            ]);
+        }
+        // le passer webmestre separrement du reste, au cas ou l'alter n'aurait pas fonctionne
+        @sql_updateq('spip_auteurs', ['webmestre' => 'oui'], "id_auteur=$id_auteur");
+
+        // inserer email comme email webmaster principal
+        // (sauf s'il est vide: cas de la re-installation)
+        if ($email) {
+            ecrire_meta('email_webmaster', $email);
+        }
+
+        // Connecter directement celui qui vient de (re)donner son login
+        // mais sans cookie d'admin ni connexion longue
+        include_spip('inc/auth');
+        if (
+            !$auteur = auth_identifier_login($login, $pass)
+            or !auth_loger($auteur, true)
+        ) {
+            spip_log("login automatique impossible $auth_spip $session" . count($row));
+        }
+    }
+
+    // installer les metas
+    $config = charger_fonction('config', 'inc');
+    $config();
+
+    // activer les plugins
+    // leur installation ne peut pas se faire sur le meme hit, il faudra donc
+    // poursuivre au hit suivant
+    include_spip('inc/plugin');
+    actualise_plugins_actifs();
+
+
+    include_spip('inc/distant');
+    redirige_par_entete(parametre_url(self(), 'etape', '4', '&'));
 }