Subversion Repositories Sites.tela-botanica.org

Rev

Go to most recent revision | Details | Last modification | View Log | RSS feed

Rev Author Line No. Line
4 david 1
<?php
2
 
3
/***************************************************************************\
4
 *  SPIP, Systeme de publication pour l'internet                           *
5
 *                                                                         *
6
 *  Copyright (c) 2001-2005                                                *
7
 *  Arnaud Martin, Antoine Pitrou, Philippe Riviere, Emmanuel Saint-James  *
8
 *                                                                         *
9
 *  Ce programme est un logiciel libre distribue sous licence GNU/GPL.     *
10
 *  Pour plus de details voir le fichier COPYING.txt ou l'aide en ligne.   *
11
\***************************************************************************/
12
 
13
//
14
// Ce fichier ne sera execute qu'une fois
15
if (defined("_ECRIRE_INC_SESSION")) return;
16
define("_ECRIRE_INC_SESSION", "1");
17
 
18
 
19
/*
20
 * Gestion de l'authentification par sessions
21
 * a utiliser pour valider l'acces (bloquant)
22
 * ou pour reconnaitre un utilisateur (non bloquant)
23
 *
24
 */
25
 
26
$GLOBALS['auteur_session'] = '';
27
 
28
 
29
//
30
// On verifie l'IP et le nom du navigateur
31
//
32
function hash_env() {
33
	global $_SERVER;
34
	return md5($_SERVER['REMOTE_ADDR'] . $_SERVER['HTTP_USER_AGENT']);
35
}
36
 
37
 
38
//
39
// Calcule le nom du fichier session
40
//
41
function fichier_session($id_session, $alea) {
42
	if (ereg("^([0-9]+_)", $id_session, $regs))
43
		$id_auteur = $regs[1];
44
	return _DIR_SESSIONS . 'session_'.$id_auteur.md5($id_session.' '.$alea).'.php3';
45
 
46
}
47
 
48
//
49
// Ajouter une session pour l'auteur specifie
50
//
51
function ajouter_session($auteur, $id_session) {
52
	$fichier_session = fichier_session($id_session, lire_meta('alea_ephemere'));
53
	$vars = array('id_auteur', 'nom', 'login', 'email', 'statut', 'lang', 'ip_change', 'hash_env');
54
 
55
	$texte = "<"."?php\n";
56
	reset($vars);
57
	while (list(, $var) = each($vars)) {
58
		$texte .= "\$GLOBALS['auteur_session']['$var'] = '".addslashes($auteur[$var])."';\n";
59
	}
60
	$texte .= "?".">\n";
61
 
62
	if ($f = @fopen($fichier_session, "wb")) {
63
		fputs($f, $texte);
64
 		fclose($f);
65
	} else {
66
		redirige_par_entete(lire_meta("adresse_site") .
67
				    "/spip_test_dirs.php3");
68
	}
69
}
70
 
71
//
72
// Verifier et inclure une session
73
//
74
function verifier_session($id_session) {
75
 
76
	// Tester avec alea courant
77
	$ok = false;
78
	if ($id_session) {
79
		$fichier_session = fichier_session($id_session, lire_meta('alea_ephemere'));
80
		if (@file_exists($fichier_session)) {
81
			include($fichier_session);
82
			$ok = true;
83
		}
84
		else {
85
			// Sinon, tester avec alea precedent
86
			$fichier_session = fichier_session($id_session, lire_meta('alea_ephemere_ancien'));
87
			if (@file_exists($fichier_session)) {
88
				// Renouveler la session (avec l'alea courant)
89
				include($fichier_session);
90
				supprimer_session($id_session);
91
				ajouter_session($GLOBALS['auteur_session'], $id_session);
92
				$ok = true;
93
			}
94
		}
95
	}
96
 
97
	// marquer la session comme "ip-change" si le cas se presente
98
	if ($ok AND (hash_env() != $GLOBALS['auteur_session']['hash_env']) AND !$GLOBALS['auteur_session']['ip_change']) {
99
		$GLOBALS['auteur_session']['ip_change'] = true;
100
		ajouter_session($GLOBALS['auteur_session'], $id_session);
101
	}
102
 
103
	return $ok;
104
}
105
 
106
//
107
// Supprimer une session
108
//
109
function supprimer_session($id_session) {
110
	$fichier_session = fichier_session($id_session, lire_meta('alea_ephemere'));
111
	if (@file_exists($fichier_session)) {
112
		@unlink($fichier_session);
113
	}
114
	$fichier_session = fichier_session($id_session, lire_meta('alea_ephemere_ancien'));
115
	if (@file_exists($fichier_session)) {
116
		@unlink($fichier_session);
117
	}
118
}
119
 
120
//
121
// Creer une session et retourne le cookie correspondant (a poser)
122
//
123
function creer_cookie_session($auteur) {
124
	if ($id_auteur = $auteur['id_auteur']) {
125
		$id_session = $id_auteur.'_'.md5(creer_uniqid());
126
		$auteur['hash_env'] = hash_env();
127
		ajouter_session($auteur, $id_session);
128
		return $id_session;
129
	}
130
}
131
 
132
//
133
// Creer un identifiant aleatoire
134
//
135
function creer_uniqid() {
136
	static $seeded;
137
 
138
	if (!$seeded) {
139
		$seed = (double) (microtime() + 1) * time();
140
		mt_srand($seed);
141
		srand($seed);
142
		$seeded = true;
143
	}
144
 
145
	$s = mt_rand();
146
	if (!$s) $s = rand();
147
	return uniqid($s, 1);
148
}
149
 
150
 
151
//
152
// Cette fonction efface toutes les sessions appartenant a l'auteur
153
// On en profite pour effacer toutes les sessions creees il y a plus de 48 h
154
//
155
function zap_sessions ($id_auteur, $zap) {
156
 
157
	// ne pas se zapper soi-meme
158
	if ($s = $GLOBALS['spip_session'])
159
		$fichier_session = fichier_session($s, lire_meta('alea_ephemere'));
160
 
161
	$dir = opendir(_DIR_SESSIONS);
162
	$t = time();
163
	while(($item = readdir($dir)) != '') {
164
		$chemin = _DIR_SESSIONS . $item;
165
		if (ereg("^session_([0-9]+_)?([a-z0-9]+)\.php3$", $item, $regs)) {
166
 
167
			// Si c'est une vieille session, on jette
168
			if (($t - filemtime($chemin)) > 48 * 3600)
169
				@unlink($chemin);
170
 
171
			// sinon voir si c'est une session du meme auteur
172
			else if ($regs[1] == $id_auteur.'_') {
173
				$zap_num ++;
174
				if ($zap)
175
					@unlink($chemin);
176
			}
177
 
178
		}
179
	}
180
 
181
	return $zap_num;
182
}
183
 
184
//
185
// reconnaitre un utilisateur authentifie en php_auth
186
//
187
function verifier_php_auth() {
188
	global $_SERVER, $ignore_auth_http;
189
	if ($_SERVER['PHP_AUTH_USER'] && $_SERVER['PHP_AUTH_PW']
190
	&& !$ignore_auth_http) {
191
		$login = addslashes($_SERVER['PHP_AUTH_USER']);
192
		$result = spip_query("SELECT * FROM spip_auteurs WHERE login='$login'");
193
		$row = spip_fetch_array($result);
194
		$auth_mdpass = md5($row['alea_actuel'] . $_SERVER['PHP_AUTH_PW']);
195
		if ($auth_mdpass != $row['pass']) {
196
			return false;
197
		} else {
198
			$GLOBALS['auteur_session']['id_auteur'] = $row['id_auteur'];
199
			$GLOBALS['auteur_session']['nom'] = $row['nom'];
200
			$GLOBALS['auteur_session']['login'] = $row['login'];
201
			$GLOBALS['auteur_session']['email'] = $row['email'];
202
			$GLOBALS['auteur_session']['statut'] = $row['statut'];
203
			$GLOBALS['auteur_session']['lang'] = $row['lang'];
204
			$GLOBALS['auteur_session']['hash_env'] = hash_env();
205
			return true;
206
		}
207
	}
208
}
209
 
210
//
211
// entete php_auth
212
//
213
function ask_php_auth($pb, $raison, $retour, $url='', $re='', $lien='') {
214
	@Header("WWW-Authenticate: Basic realm=\"espace prive\"");
215
	@Header("HTTP/1.0 401 Unauthorized");
216
	echo "<b>$pb</b><p>$raison</p>[<a href='./'>$retour</a>] ",
217
	  (!$url ? '' :
218
	   "[<a href='spip_cookie.php3?essai_auth_http=oui&amp;$url'>$re</a>]"),
219
	  (!$lien ? '' : " [<a href='" . _DIR_RESTREINT_ABS . "'>"._T('login_espace_prive')."</a>]");
220
	exit;
221
}
222
 
223
//
224
// verifie si on a un cookie de session ou un auth_php correct
225
// et charge ses valeurs dans $GLOBALS['auteur_session']
226
//
227
function verifier_visiteur() {
228
	if (verifier_session($GLOBALS['_COOKIE']['spip_session']))
229
		return true;
230
	if (verifier_php_auth())
231
		return true;
232
	return false;
233
}
234
?>