spip /
SPIP
@@ -77,7 +77,7 @@ discard block |
||
| 77 | 77 | * @param string $titre |
| 78 | 78 | * @param string $titre_bouton |
| 79 | 79 | * @param string|null $url_action |
| 80 | - * @return bool |
|
| 80 | + * @return boolean|null |
|
| 81 | 81 | */ |
| 82 | 82 | function demander_confirmation_avant_action($titre, $titre_bouton, $url_action=null) { |
| 83 | 83 | |
@@ -351,6 +351,7 @@ discard block |
||
| 351 | 351 | * @param string $url Url à autoriser en prévisu |
| 352 | 352 | * @param int|null id_auteur qui génère le token de prévisu. Null utilisera auteur courant. |
| 353 | 353 | * @param string $alea Nom de l’alea à utiliser |
| 354 | + * @param integer $id_auteur |
|
| 354 | 355 | * @return string Token, de la forme "{id}*{hash}" |
| 355 | 356 | */ |
| 356 | 357 | function calculer_token_previsu($url, $id_auteur = null, $alea = 'alea_ephemere') { |
@@ -17,7 +17,7 @@ discard block |
||
| 17 | 17 | **/ |
| 18 | 18 | |
| 19 | 19 | if (!defined('_ECRIRE_INC_VERSION')) { |
| 20 | - return; |
|
| 20 | + return; |
|
| 21 | 21 | } |
| 22 | 22 | |
| 23 | 23 | /** |
@@ -50,19 +50,19 @@ discard block |
||
| 50 | 50 | * @return array|string |
| 51 | 51 | */ |
| 52 | 52 | function inc_securiser_action_dist($action = '', $arg = '', $redirect = "", $mode = false, $att = '', $public = false) { |
| 53 | - if ($action) { |
|
| 54 | - return securiser_action_auteur($action, $arg, $redirect, $mode, $att, $public); |
|
| 55 | - } else { |
|
| 56 | - $arg = _request('arg'); |
|
| 57 | - $hash = _request('hash'); |
|
| 58 | - $action = _request('action') ? _request('action') : _request('formulaire_action'); |
|
| 59 | - if ($a = verifier_action_auteur("$action-$arg", $hash)) { |
|
| 60 | - return $arg; |
|
| 61 | - } |
|
| 62 | - include_spip('inc/minipres'); |
|
| 63 | - echo minipres(); |
|
| 64 | - exit; |
|
| 65 | - } |
|
| 53 | + if ($action) { |
|
| 54 | + return securiser_action_auteur($action, $arg, $redirect, $mode, $att, $public); |
|
| 55 | + } else { |
|
| 56 | + $arg = _request('arg'); |
|
| 57 | + $hash = _request('hash'); |
|
| 58 | + $action = _request('action') ? _request('action') : _request('formulaire_action'); |
|
| 59 | + if ($a = verifier_action_auteur("$action-$arg", $hash)) { |
|
| 60 | + return $arg; |
|
| 61 | + } |
|
| 62 | + include_spip('inc/minipres'); |
|
| 63 | + echo minipres(); |
|
| 64 | + exit; |
|
| 65 | + } |
|
| 66 | 66 | } |
| 67 | 67 | |
| 68 | 68 | /** |
@@ -81,29 +81,29 @@ discard block |
||
| 81 | 81 | */ |
| 82 | 82 | function demander_confirmation_avant_action($titre, $titre_bouton, $url_action=null) { |
| 83 | 83 | |
| 84 | - if (!$url_action) { |
|
| 85 | - $url_action = self(); |
|
| 86 | - $action = _request('action'); |
|
| 87 | - $url_action = parametre_url($url_action, 'action', $action, '&'); |
|
| 88 | - } |
|
| 89 | - else { |
|
| 90 | - $action = parametre_url($url_action, 'action'); |
|
| 91 | - } |
|
| 92 | - |
|
| 93 | - $arg = parametre_url($url_action, 'arg'); |
|
| 94 | - $confirm = md5("$action:$arg:".realpath(__FILE__)); |
|
| 95 | - if (_request('confirm_action') === $confirm) { |
|
| 96 | - return true; |
|
| 97 | - } |
|
| 98 | - |
|
| 99 | - $url_confirm = parametre_url($url_action, "confirm_action", $confirm, '&'); |
|
| 100 | - include_spip("inc/filtres"); |
|
| 101 | - $bouton_action = bouton_action($titre_bouton, $url_confirm); |
|
| 102 | - $corps = "<div style='text-align:center;'>$bouton_action</div>"; |
|
| 103 | - |
|
| 104 | - include_spip("inc/minipres"); |
|
| 105 | - echo minipres($titre,$corps); |
|
| 106 | - exit; |
|
| 84 | + if (!$url_action) { |
|
| 85 | + $url_action = self(); |
|
| 86 | + $action = _request('action'); |
|
| 87 | + $url_action = parametre_url($url_action, 'action', $action, '&'); |
|
| 88 | + } |
|
| 89 | + else { |
|
| 90 | + $action = parametre_url($url_action, 'action'); |
|
| 91 | + } |
|
| 92 | + |
|
| 93 | + $arg = parametre_url($url_action, 'arg'); |
|
| 94 | + $confirm = md5("$action:$arg:".realpath(__FILE__)); |
|
| 95 | + if (_request('confirm_action') === $confirm) { |
|
| 96 | + return true; |
|
| 97 | + } |
|
| 98 | + |
|
| 99 | + $url_confirm = parametre_url($url_action, "confirm_action", $confirm, '&'); |
|
| 100 | + include_spip("inc/filtres"); |
|
| 101 | + $bouton_action = bouton_action($titre_bouton, $url_confirm); |
|
| 102 | + $corps = "<div style='text-align:center;'>$bouton_action</div>"; |
|
| 103 | + |
|
| 104 | + include_spip("inc/minipres"); |
|
| 105 | + echo minipres($titre,$corps); |
|
| 106 | + exit; |
|
| 107 | 107 | } |
| 108 | 108 | |
| 109 | 109 | /** |
@@ -135,30 +135,30 @@ discard block |
||
| 135 | 135 | */ |
| 136 | 136 | function securiser_action_auteur($action, $arg, $redirect = "", $mode = false, $att = '', $public = false) { |
| 137 | 137 | |
| 138 | - // mode URL ou array |
|
| 139 | - if (!is_string($mode)) { |
|
| 140 | - $hash = calculer_action_auteur("$action-$arg", is_numeric($att) ? $att : null); |
|
| 141 | - |
|
| 142 | - $r = rawurlencode($redirect); |
|
| 143 | - if ($mode === -1) { |
|
| 144 | - return array('action' => $action, 'arg' => $arg, 'hash' => $hash); |
|
| 145 | - } else { |
|
| 146 | - return generer_url_action($action, "arg=" . rawurlencode($arg) . "&hash=$hash" . (!$r ? '' : "&redirect=$r"), |
|
| 147 | - $mode, $public); |
|
| 148 | - } |
|
| 149 | - } |
|
| 150 | - |
|
| 151 | - // mode formulaire |
|
| 152 | - $hash = calculer_action_auteur("$action-$arg"); |
|
| 153 | - $att .= " style='margin: 0px; border: 0px'"; |
|
| 154 | - if ($redirect) { |
|
| 155 | - $redirect = "\n\t\t<input name='redirect' type='hidden' value='" . str_replace("'", ''', $redirect) . "' />"; |
|
| 156 | - } |
|
| 157 | - $mode .= $redirect . " |
|
| 138 | + // mode URL ou array |
|
| 139 | + if (!is_string($mode)) { |
|
| 140 | + $hash = calculer_action_auteur("$action-$arg", is_numeric($att) ? $att : null); |
|
| 141 | + |
|
| 142 | + $r = rawurlencode($redirect); |
|
| 143 | + if ($mode === -1) { |
|
| 144 | + return array('action' => $action, 'arg' => $arg, 'hash' => $hash); |
|
| 145 | + } else { |
|
| 146 | + return generer_url_action($action, "arg=" . rawurlencode($arg) . "&hash=$hash" . (!$r ? '' : "&redirect=$r"), |
|
| 147 | + $mode, $public); |
|
| 148 | + } |
|
| 149 | + } |
|
| 150 | + |
|
| 151 | + // mode formulaire |
|
| 152 | + $hash = calculer_action_auteur("$action-$arg"); |
|
| 153 | + $att .= " style='margin: 0px; border: 0px'"; |
|
| 154 | + if ($redirect) { |
|
| 155 | + $redirect = "\n\t\t<input name='redirect' type='hidden' value='" . str_replace("'", ''', $redirect) . "' />"; |
|
| 156 | + } |
|
| 157 | + $mode .= $redirect . " |
|
| 158 | 158 | <input name='hash' type='hidden' value='$hash' /> |
| 159 | 159 | <input name='arg' type='hidden' value='$arg' />"; |
| 160 | 160 | |
| 161 | - return generer_form_action($action, $mode, $att, $public); |
|
| 161 | + return generer_form_action($action, $mode, $att, $public); |
|
| 162 | 162 | } |
| 163 | 163 | |
| 164 | 164 | /** |
@@ -168,47 +168,47 @@ discard block |
||
| 168 | 168 | * @return array |
| 169 | 169 | */ |
| 170 | 170 | function caracteriser_auteur($id_auteur = null) { |
| 171 | - static $caracterisation = array(); |
|
| 172 | - |
|
| 173 | - if (is_null($id_auteur) and !isset($GLOBALS['visiteur_session']['id_auteur'])) { |
|
| 174 | - // si l'auteur courant n'est pas connu alors qu'il peut demander une action |
|
| 175 | - // c'est une connexion par php_auth ou 1 instal, on se rabat sur le cookie. |
|
| 176 | - // S'il n'avait pas le droit de realiser cette action, le hash sera faux. |
|
| 177 | - if (isset($_COOKIE['spip_session']) |
|
| 178 | - and (preg_match('/^(\d+)/', $_COOKIE['spip_session'], $r)) |
|
| 179 | - ) { |
|
| 180 | - return array($r[1], ''); |
|
| 181 | - // Necessaire aux forums anonymes. |
|
| 182 | - // Pour le reste, ca echouera. |
|
| 183 | - } else { |
|
| 184 | - return array('0', ''); |
|
| 185 | - } |
|
| 186 | - } |
|
| 187 | - // Eviter l'acces SQL si le pass est connu de PHP |
|
| 188 | - if (is_null($id_auteur)) { |
|
| 189 | - $id_auteur = isset($GLOBALS['visiteur_session']['id_auteur']) ? $GLOBALS['visiteur_session']['id_auteur'] : 0; |
|
| 190 | - if (isset($GLOBALS['visiteur_session']['pass']) and $GLOBALS['visiteur_session']['pass']) { |
|
| 191 | - return $caracterisation[$id_auteur] = array($id_auteur, $GLOBALS['visiteur_session']['pass']); |
|
| 192 | - } |
|
| 193 | - } |
|
| 194 | - |
|
| 195 | - if (isset($caracterisation[$id_auteur])) { |
|
| 196 | - return $caracterisation[$id_auteur]; |
|
| 197 | - } |
|
| 198 | - |
|
| 199 | - if ($id_auteur) { |
|
| 200 | - include_spip('base/abstract_sql'); |
|
| 201 | - $t = sql_fetsel("id_auteur, pass", "spip_auteurs", "id_auteur=$id_auteur"); |
|
| 202 | - if ($t) { |
|
| 203 | - return $caracterisation[$id_auteur] = array($t['id_auteur'], $t['pass']); |
|
| 204 | - } |
|
| 205 | - include_spip('inc/minipres'); |
|
| 206 | - echo minipres(); |
|
| 207 | - exit; |
|
| 208 | - } // Visiteur anonyme, pour ls forums par exemple |
|
| 209 | - else { |
|
| 210 | - return array('0', ''); |
|
| 211 | - } |
|
| 171 | + static $caracterisation = array(); |
|
| 172 | + |
|
| 173 | + if (is_null($id_auteur) and !isset($GLOBALS['visiteur_session']['id_auteur'])) { |
|
| 174 | + // si l'auteur courant n'est pas connu alors qu'il peut demander une action |
|
| 175 | + // c'est une connexion par php_auth ou 1 instal, on se rabat sur le cookie. |
|
| 176 | + // S'il n'avait pas le droit de realiser cette action, le hash sera faux. |
|
| 177 | + if (isset($_COOKIE['spip_session']) |
|
| 178 | + and (preg_match('/^(\d+)/', $_COOKIE['spip_session'], $r)) |
|
| 179 | + ) { |
|
| 180 | + return array($r[1], ''); |
|
| 181 | + // Necessaire aux forums anonymes. |
|
| 182 | + // Pour le reste, ca echouera. |
|
| 183 | + } else { |
|
| 184 | + return array('0', ''); |
|
| 185 | + } |
|
| 186 | + } |
|
| 187 | + // Eviter l'acces SQL si le pass est connu de PHP |
|
| 188 | + if (is_null($id_auteur)) { |
|
| 189 | + $id_auteur = isset($GLOBALS['visiteur_session']['id_auteur']) ? $GLOBALS['visiteur_session']['id_auteur'] : 0; |
|
| 190 | + if (isset($GLOBALS['visiteur_session']['pass']) and $GLOBALS['visiteur_session']['pass']) { |
|
| 191 | + return $caracterisation[$id_auteur] = array($id_auteur, $GLOBALS['visiteur_session']['pass']); |
|
| 192 | + } |
|
| 193 | + } |
|
| 194 | + |
|
| 195 | + if (isset($caracterisation[$id_auteur])) { |
|
| 196 | + return $caracterisation[$id_auteur]; |
|
| 197 | + } |
|
| 198 | + |
|
| 199 | + if ($id_auteur) { |
|
| 200 | + include_spip('base/abstract_sql'); |
|
| 201 | + $t = sql_fetsel("id_auteur, pass", "spip_auteurs", "id_auteur=$id_auteur"); |
|
| 202 | + if ($t) { |
|
| 203 | + return $caracterisation[$id_auteur] = array($t['id_auteur'], $t['pass']); |
|
| 204 | + } |
|
| 205 | + include_spip('inc/minipres'); |
|
| 206 | + echo minipres(); |
|
| 207 | + exit; |
|
| 208 | + } // Visiteur anonyme, pour ls forums par exemple |
|
| 209 | + else { |
|
| 210 | + return array('0', ''); |
|
| 211 | + } |
|
| 212 | 212 | } |
| 213 | 213 | |
| 214 | 214 | /** |
@@ -223,28 +223,28 @@ discard block |
||
| 223 | 223 | * @return string |
| 224 | 224 | */ |
| 225 | 225 | function _action_auteur($action, $id_auteur, $pass, $alea) { |
| 226 | - static $sha = array(); |
|
| 227 | - if (!isset($sha[$id_auteur . $pass . $alea])) { |
|
| 228 | - if (!isset($GLOBALS['meta'][$alea])) { |
|
| 229 | - if (!$exec = _request('exec') or !autoriser_sans_cookie($exec)){ |
|
| 230 | - include_spip('inc/acces'); |
|
| 231 | - charger_aleas(); |
|
| 232 | - if (empty($GLOBALS['meta'][$alea])){ |
|
| 233 | - include_spip('inc/minipres'); |
|
| 234 | - echo minipres(); |
|
| 235 | - spip_log("$alea indisponible"); |
|
| 236 | - exit; |
|
| 237 | - } |
|
| 238 | - } |
|
| 239 | - } |
|
| 240 | - include_spip('auth/sha256.inc'); |
|
| 241 | - $sha[$id_auteur . $pass . $alea] = spip_sha256($id_auteur . $pass . @$GLOBALS['meta'][$alea]); |
|
| 242 | - } |
|
| 243 | - if (function_exists('sha1')) { |
|
| 244 | - return sha1($action . $sha[$id_auteur . $pass . $alea]); |
|
| 245 | - } else { |
|
| 246 | - return md5($action . $sha[$id_auteur . $pass . $alea]); |
|
| 247 | - } |
|
| 226 | + static $sha = array(); |
|
| 227 | + if (!isset($sha[$id_auteur . $pass . $alea])) { |
|
| 228 | + if (!isset($GLOBALS['meta'][$alea])) { |
|
| 229 | + if (!$exec = _request('exec') or !autoriser_sans_cookie($exec)){ |
|
| 230 | + include_spip('inc/acces'); |
|
| 231 | + charger_aleas(); |
|
| 232 | + if (empty($GLOBALS['meta'][$alea])){ |
|
| 233 | + include_spip('inc/minipres'); |
|
| 234 | + echo minipres(); |
|
| 235 | + spip_log("$alea indisponible"); |
|
| 236 | + exit; |
|
| 237 | + } |
|
| 238 | + } |
|
| 239 | + } |
|
| 240 | + include_spip('auth/sha256.inc'); |
|
| 241 | + $sha[$id_auteur . $pass . $alea] = spip_sha256($id_auteur . $pass . @$GLOBALS['meta'][$alea]); |
|
| 242 | + } |
|
| 243 | + if (function_exists('sha1')) { |
|
| 244 | + return sha1($action . $sha[$id_auteur . $pass . $alea]); |
|
| 245 | + } else { |
|
| 246 | + return md5($action . $sha[$id_auteur . $pass . $alea]); |
|
| 247 | + } |
|
| 248 | 248 | } |
| 249 | 249 | |
| 250 | 250 | /** |
@@ -255,9 +255,9 @@ discard block |
||
| 255 | 255 | * @return string |
| 256 | 256 | */ |
| 257 | 257 | function calculer_action_auteur($action, $id_auteur = null) { |
| 258 | - list($id_auteur, $pass) = caracteriser_auteur($id_auteur); |
|
| 258 | + list($id_auteur, $pass) = caracteriser_auteur($id_auteur); |
|
| 259 | 259 | |
| 260 | - return _action_auteur($action, $id_auteur, $pass, 'alea_ephemere'); |
|
| 260 | + return _action_auteur($action, $id_auteur, $pass, 'alea_ephemere'); |
|
| 261 | 261 | } |
| 262 | 262 | |
| 263 | 263 | |
@@ -270,15 +270,15 @@ discard block |
||
| 270 | 270 | * @return bool |
| 271 | 271 | */ |
| 272 | 272 | function verifier_action_auteur($action, $hash) { |
| 273 | - list($id_auteur, $pass) = caracteriser_auteur(); |
|
| 274 | - if ($hash == _action_auteur($action, $id_auteur, $pass, 'alea_ephemere')) { |
|
| 275 | - return true; |
|
| 276 | - } |
|
| 277 | - if ($hash == _action_auteur($action, $id_auteur, $pass, 'alea_ephemere_ancien')) { |
|
| 278 | - return true; |
|
| 279 | - } |
|
| 280 | - |
|
| 281 | - return false; |
|
| 273 | + list($id_auteur, $pass) = caracteriser_auteur(); |
|
| 274 | + if ($hash == _action_auteur($action, $id_auteur, $pass, 'alea_ephemere')) { |
|
| 275 | + return true; |
|
| 276 | + } |
|
| 277 | + if ($hash == _action_auteur($action, $id_auteur, $pass, 'alea_ephemere_ancien')) { |
|
| 278 | + return true; |
|
| 279 | + } |
|
| 280 | + |
|
| 281 | + return false; |
|
| 282 | 282 | } |
| 283 | 283 | |
| 284 | 284 | // |
@@ -294,25 +294,25 @@ discard block |
||
| 294 | 294 | * @return string |
| 295 | 295 | */ |
| 296 | 296 | function secret_du_site() { |
| 297 | - if (!isset($GLOBALS['meta']['secret_du_site'])) { |
|
| 298 | - include_spip('base/abstract_sql'); |
|
| 299 | - $GLOBALS['meta']['secret_du_site'] = sql_getfetsel('valeur', 'spip_meta', "nom='secret_du_site'"); |
|
| 300 | - } |
|
| 301 | - if (!isset($GLOBALS['meta']['secret_du_site']) |
|
| 302 | - or (strlen($GLOBALS['meta']['secret_du_site']) < 64) |
|
| 303 | - ) { |
|
| 304 | - include_spip('inc/acces'); |
|
| 305 | - include_spip('auth/sha256.inc'); |
|
| 306 | - ecrire_meta('secret_du_site', |
|
| 307 | - spip_sha256( |
|
| 308 | - $_SERVER["DOCUMENT_ROOT"] |
|
| 309 | - . (isset($_SERVER['SERVER_SIGNATURE']) ? $_SERVER["SERVER_SIGNATURE"] : "") |
|
| 310 | - . creer_uniqid() |
|
| 311 | - ), 'non'); |
|
| 312 | - lire_metas(); // au cas ou ecrire_meta() ne fonctionne pas |
|
| 313 | - } |
|
| 314 | - |
|
| 315 | - return $GLOBALS['meta']['secret_du_site']; |
|
| 297 | + if (!isset($GLOBALS['meta']['secret_du_site'])) { |
|
| 298 | + include_spip('base/abstract_sql'); |
|
| 299 | + $GLOBALS['meta']['secret_du_site'] = sql_getfetsel('valeur', 'spip_meta', "nom='secret_du_site'"); |
|
| 300 | + } |
|
| 301 | + if (!isset($GLOBALS['meta']['secret_du_site']) |
|
| 302 | + or (strlen($GLOBALS['meta']['secret_du_site']) < 64) |
|
| 303 | + ) { |
|
| 304 | + include_spip('inc/acces'); |
|
| 305 | + include_spip('auth/sha256.inc'); |
|
| 306 | + ecrire_meta('secret_du_site', |
|
| 307 | + spip_sha256( |
|
| 308 | + $_SERVER["DOCUMENT_ROOT"] |
|
| 309 | + . (isset($_SERVER['SERVER_SIGNATURE']) ? $_SERVER["SERVER_SIGNATURE"] : "") |
|
| 310 | + . creer_uniqid() |
|
| 311 | + ), 'non'); |
|
| 312 | + lire_metas(); // au cas ou ecrire_meta() ne fonctionne pas |
|
| 313 | + } |
|
| 314 | + |
|
| 315 | + return $GLOBALS['meta']['secret_du_site']; |
|
| 316 | 316 | } |
| 317 | 317 | |
| 318 | 318 | /** |
@@ -322,11 +322,11 @@ discard block |
||
| 322 | 322 | * @return string |
| 323 | 323 | */ |
| 324 | 324 | function calculer_cle_action($action) { |
| 325 | - if (function_exists('sha1')) { |
|
| 326 | - return sha1($action . secret_du_site()); |
|
| 327 | - } else { |
|
| 328 | - return md5($action . secret_du_site()); |
|
| 329 | - } |
|
| 325 | + if (function_exists('sha1')) { |
|
| 326 | + return sha1($action . secret_du_site()); |
|
| 327 | + } else { |
|
| 328 | + return md5($action . secret_du_site()); |
|
| 329 | + } |
|
| 330 | 330 | } |
| 331 | 331 | |
| 332 | 332 | /** |
@@ -337,7 +337,7 @@ discard block |
||
| 337 | 337 | * @return bool |
| 338 | 338 | */ |
| 339 | 339 | function verifier_cle_action($action, $cle) { |
| 340 | - return ($cle == calculer_cle_action($action)); |
|
| 340 | + return ($cle == calculer_cle_action($action)); |
|
| 341 | 341 | } |
| 342 | 342 | |
| 343 | 343 | |
@@ -354,19 +354,19 @@ discard block |
||
| 354 | 354 | * @return string Token, de la forme "{id}*{hash}" |
| 355 | 355 | */ |
| 356 | 356 | function calculer_token_previsu($url, $id_auteur = null, $alea = 'alea_ephemere') { |
| 357 | - if (is_null($id_auteur)) { |
|
| 358 | - if (!empty($GLOBALS['visiteur_session']['id_auteur'])) { |
|
| 359 | - $id_auteur = $GLOBALS['visiteur_session']['id_auteur']; |
|
| 360 | - } |
|
| 361 | - } |
|
| 362 | - if (!$id_auteur = intval($id_auteur)) { |
|
| 363 | - return ""; |
|
| 364 | - } |
|
| 365 | - // On nettoie l’URL de tous les var_. |
|
| 366 | - $url = nettoyer_uri_var($url); |
|
| 367 | - |
|
| 368 | - $token = _action_auteur('previsualiser-' . $url, $id_auteur, null, $alea); |
|
| 369 | - return "$id_auteur-$token"; |
|
| 357 | + if (is_null($id_auteur)) { |
|
| 358 | + if (!empty($GLOBALS['visiteur_session']['id_auteur'])) { |
|
| 359 | + $id_auteur = $GLOBALS['visiteur_session']['id_auteur']; |
|
| 360 | + } |
|
| 361 | + } |
|
| 362 | + if (!$id_auteur = intval($id_auteur)) { |
|
| 363 | + return ""; |
|
| 364 | + } |
|
| 365 | + // On nettoie l’URL de tous les var_. |
|
| 366 | + $url = nettoyer_uri_var($url); |
|
| 367 | + |
|
| 368 | + $token = _action_auteur('previsualiser-' . $url, $id_auteur, null, $alea); |
|
| 369 | + return "$id_auteur-$token"; |
|
| 370 | 370 | } |
| 371 | 371 | |
| 372 | 372 | |
@@ -384,31 +384,31 @@ discard block |
||
| 384 | 384 | * + Tableau (id auteur, type d’objet, id_objet) sinon. |
| 385 | 385 | */ |
| 386 | 386 | function verifier_token_previsu($token) { |
| 387 | - // retrouver auteur / hash |
|
| 388 | - $e = explode('-', $token, 2); |
|
| 389 | - if (count($e) == 2 and is_numeric(reset($e))) { |
|
| 390 | - $id_auteur = intval(reset($e)); |
|
| 391 | - } else { |
|
| 392 | - return false; |
|
| 393 | - } |
|
| 394 | - |
|
| 395 | - // calculer le type et id de l’url actuelle |
|
| 396 | - include_spip('inc/urls'); |
|
| 397 | - include_spip('inc/filtres_mini'); |
|
| 398 | - $url = url_absolue(self()); |
|
| 399 | - |
|
| 400 | - // verifier le token |
|
| 401 | - $_token = calculer_token_previsu($url, $id_auteur, 'alea_ephemere'); |
|
| 402 | - if (!$_token or $token !== $_token) { |
|
| 403 | - $_token = calculer_token_previsu($url, $id_auteur, 'alea_ephemere_ancien'); |
|
| 404 | - if (!$_token or $token !== $_token) { |
|
| 405 | - return false; |
|
| 406 | - } |
|
| 407 | - } |
|
| 408 | - |
|
| 409 | - return array( |
|
| 410 | - 'id_auteur' => $id_auteur, |
|
| 411 | - ); |
|
| 387 | + // retrouver auteur / hash |
|
| 388 | + $e = explode('-', $token, 2); |
|
| 389 | + if (count($e) == 2 and is_numeric(reset($e))) { |
|
| 390 | + $id_auteur = intval(reset($e)); |
|
| 391 | + } else { |
|
| 392 | + return false; |
|
| 393 | + } |
|
| 394 | + |
|
| 395 | + // calculer le type et id de l’url actuelle |
|
| 396 | + include_spip('inc/urls'); |
|
| 397 | + include_spip('inc/filtres_mini'); |
|
| 398 | + $url = url_absolue(self()); |
|
| 399 | + |
|
| 400 | + // verifier le token |
|
| 401 | + $_token = calculer_token_previsu($url, $id_auteur, 'alea_ephemere'); |
|
| 402 | + if (!$_token or $token !== $_token) { |
|
| 403 | + $_token = calculer_token_previsu($url, $id_auteur, 'alea_ephemere_ancien'); |
|
| 404 | + if (!$_token or $token !== $_token) { |
|
| 405 | + return false; |
|
| 406 | + } |
|
| 407 | + } |
|
| 408 | + |
|
| 409 | + return array( |
|
| 410 | + 'id_auteur' => $id_auteur, |
|
| 411 | + ); |
|
| 412 | 412 | } |
| 413 | 413 | |
| 414 | 414 | /** |
@@ -417,13 +417,13 @@ discard block |
||
| 417 | 417 | * @return bool|array |
| 418 | 418 | */ |
| 419 | 419 | function decrire_token_previsu() { |
| 420 | - static $desc = null; |
|
| 421 | - if (is_null($desc)) { |
|
| 422 | - if ($token = _request('var_previewtoken')) { |
|
| 423 | - $desc = verifier_token_previsu($token); |
|
| 424 | - } else { |
|
| 425 | - $desc = false; |
|
| 426 | - } |
|
| 427 | - } |
|
| 428 | - return $desc; |
|
| 420 | + static $desc = null; |
|
| 421 | + if (is_null($desc)) { |
|
| 422 | + if ($token = _request('var_previewtoken')) { |
|
| 423 | + $desc = verifier_token_previsu($token); |
|
| 424 | + } else { |
|
| 425 | + $desc = false; |
|
| 426 | + } |
|
| 427 | + } |
|
| 428 | + return $desc; |
|
| 429 | 429 | } |
| 430 | 430 | \ No newline at end of file |
@@ -79,7 +79,7 @@ discard block |
||
| 79 | 79 | * @param string|null $url_action |
| 80 | 80 | * @return bool |
| 81 | 81 | */ |
| 82 | -function demander_confirmation_avant_action($titre, $titre_bouton, $url_action=null) { |
|
| 82 | +function demander_confirmation_avant_action($titre, $titre_bouton, $url_action = null) { |
|
| 83 | 83 | |
| 84 | 84 | if (!$url_action) { |
| 85 | 85 | $url_action = self(); |
@@ -102,7 +102,7 @@ discard block |
||
| 102 | 102 | $corps = "<div style='text-align:center;'>$bouton_action</div>"; |
| 103 | 103 | |
| 104 | 104 | include_spip("inc/minipres"); |
| 105 | - echo minipres($titre,$corps); |
|
| 105 | + echo minipres($titre, $corps); |
|
| 106 | 106 | exit; |
| 107 | 107 | } |
| 108 | 108 | |
@@ -143,7 +143,7 @@ discard block |
||
| 143 | 143 | if ($mode === -1) { |
| 144 | 144 | return array('action' => $action, 'arg' => $arg, 'hash' => $hash); |
| 145 | 145 | } else { |
| 146 | - return generer_url_action($action, "arg=" . rawurlencode($arg) . "&hash=$hash" . (!$r ? '' : "&redirect=$r"), |
|
| 146 | + return generer_url_action($action, "arg=".rawurlencode($arg)."&hash=$hash".(!$r ? '' : "&redirect=$r"), |
|
| 147 | 147 | $mode, $public); |
| 148 | 148 | } |
| 149 | 149 | } |
@@ -152,9 +152,9 @@ discard block |
||
| 152 | 152 | $hash = calculer_action_auteur("$action-$arg"); |
| 153 | 153 | $att .= " style='margin: 0px; border: 0px'"; |
| 154 | 154 | if ($redirect) { |
| 155 | - $redirect = "\n\t\t<input name='redirect' type='hidden' value='" . str_replace("'", ''', $redirect) . "' />"; |
|
| 155 | + $redirect = "\n\t\t<input name='redirect' type='hidden' value='".str_replace("'", ''', $redirect)."' />"; |
|
| 156 | 156 | } |
| 157 | - $mode .= $redirect . " |
|
| 157 | + $mode .= $redirect." |
|
| 158 | 158 | <input name='hash' type='hidden' value='$hash' /> |
| 159 | 159 | <input name='arg' type='hidden' value='$arg' />"; |
| 160 | 160 | |
@@ -224,12 +224,12 @@ discard block |
||
| 224 | 224 | */ |
| 225 | 225 | function _action_auteur($action, $id_auteur, $pass, $alea) { |
| 226 | 226 | static $sha = array(); |
| 227 | - if (!isset($sha[$id_auteur . $pass . $alea])) { |
|
| 227 | + if (!isset($sha[$id_auteur.$pass.$alea])) { |
|
| 228 | 228 | if (!isset($GLOBALS['meta'][$alea])) { |
| 229 | - if (!$exec = _request('exec') or !autoriser_sans_cookie($exec)){ |
|
| 229 | + if (!$exec = _request('exec') or !autoriser_sans_cookie($exec)) { |
|
| 230 | 230 | include_spip('inc/acces'); |
| 231 | 231 | charger_aleas(); |
| 232 | - if (empty($GLOBALS['meta'][$alea])){ |
|
| 232 | + if (empty($GLOBALS['meta'][$alea])) { |
|
| 233 | 233 | include_spip('inc/minipres'); |
| 234 | 234 | echo minipres(); |
| 235 | 235 | spip_log("$alea indisponible"); |
@@ -238,12 +238,12 @@ discard block |
||
| 238 | 238 | } |
| 239 | 239 | } |
| 240 | 240 | include_spip('auth/sha256.inc'); |
| 241 | - $sha[$id_auteur . $pass . $alea] = spip_sha256($id_auteur . $pass . @$GLOBALS['meta'][$alea]); |
|
| 241 | + $sha[$id_auteur.$pass.$alea] = spip_sha256($id_auteur.$pass.@$GLOBALS['meta'][$alea]); |
|
| 242 | 242 | } |
| 243 | 243 | if (function_exists('sha1')) { |
| 244 | - return sha1($action . $sha[$id_auteur . $pass . $alea]); |
|
| 244 | + return sha1($action.$sha[$id_auteur.$pass.$alea]); |
|
| 245 | 245 | } else { |
| 246 | - return md5($action . $sha[$id_auteur . $pass . $alea]); |
|
| 246 | + return md5($action.$sha[$id_auteur.$pass.$alea]); |
|
| 247 | 247 | } |
| 248 | 248 | } |
| 249 | 249 | |
@@ -323,9 +323,9 @@ discard block |
||
| 323 | 323 | */ |
| 324 | 324 | function calculer_cle_action($action) { |
| 325 | 325 | if (function_exists('sha1')) { |
| 326 | - return sha1($action . secret_du_site()); |
|
| 326 | + return sha1($action.secret_du_site()); |
|
| 327 | 327 | } else { |
| 328 | - return md5($action . secret_du_site()); |
|
| 328 | + return md5($action.secret_du_site()); |
|
| 329 | 329 | } |
| 330 | 330 | } |
| 331 | 331 | |
@@ -365,7 +365,7 @@ discard block |
||
| 365 | 365 | // On nettoie l’URL de tous les var_. |
| 366 | 366 | $url = nettoyer_uri_var($url); |
| 367 | 367 | |
| 368 | - $token = _action_auteur('previsualiser-' . $url, $id_auteur, null, $alea); |
|
| 368 | + $token = _action_auteur('previsualiser-'.$url, $id_auteur, null, $alea); |
|
| 369 | 369 | return "$id_auteur-$token"; |
| 370 | 370 | } |
| 371 | 371 | |
@@ -85,8 +85,7 @@ |
||
| 85 | 85 | $url_action = self(); |
| 86 | 86 | $action = _request('action'); |
| 87 | 87 | $url_action = parametre_url($url_action, 'action', $action, '&'); |
| 88 | - } |
|
| 89 | - else { |
|
| 88 | + } else { |
|
| 90 | 89 | $action = parametre_url($url_action, 'action'); |
| 91 | 90 | } |
| 92 | 91 | |
