Subversion Repositories Sites.tela-botanica.org

Rev

Rev 4 | Blame | Last modification | View Log | RSS feed

<?php

/***************************************************************************\
 *  SPIP, Systeme de publication pour l'internet                           *
 *                                                                         *
 *  Copyright (c) 2001-2005                                                *
 *  Arnaud Martin, Antoine Pitrou, Philippe Riviere, Emmanuel Saint-James  *
 *                                                                         *
 *  Ce programme est un logiciel libre distribue sous licence GNU/GPL.     *
 *  Pour plus de details voir le fichier COPYING.txt ou l'aide en ligne.   *
\***************************************************************************/


//
// Ce fichier ne sera execute qu'une fois
if (defined("_ECRIRE_INC_AUTH")) return;
define("_ECRIRE_INC_AUTH", "1");

include_ecrire ("inc_connect.php3");
include_ecrire ("inc_meta.php3");
include_ecrire ("inc_session.php3");

define("_DIR_LOGIN", _DIR_RESTREINT ? "" : "../");
define("_DIR_LOGED_IN",   _DIR_RESTREINT ? "" : _DIR_RESTREINT_ABS);


//
// Fonctions de gestion de l'acces restreint aux rubriques
//

function acces_rubrique($id_rubrique) {
        global $connect_toutes_rubriques;
        global $connect_id_rubrique;

        return ($connect_toutes_rubriques OR $connect_id_rubrique[$id_rubrique]);
}

function acces_restreint_rubrique($id_rubrique) {
        global $connect_id_rubrique;
        global $connect_statut;

        return ($connect_statut == "0minirezo" AND $connect_id_rubrique[$id_rubrique]);
}


function auth() {
        global $_POST, $_GET, $_COOKIE, $_SERVER;
        global $auth_can_disconnect, $ignore_auth_http, $ignore_remote_user;

        global $connect_id_auteur, $connect_nom, $connect_bio, $connect_email;
        global $connect_nom_site, $connect_url_site, $connect_login, $connect_pass;
        global $connect_activer_imessage, $connect_activer_messagerie;
        global $connect_statut, $connect_toutes_rubriques, $connect_id_rubrique;

        global $auteur_session, $prefs;
        global $clean_link;

        //
        // Si pas MySQL, fini
        //
        if (!$GLOBALS['db_ok']) {
                spip_log("Erreur base de donnees");
                include_ecrire('inc_presentation.php3');
                install_debut_html(_T('info_travaux_titre'));
                echo _T('titre_probleme_technique');
                echo "<p><tt>".spip_sql_errno()." ".spip_sql_error()."</tt></p>";
                install_fin_html();
                exit;
        }


        //
        // Initialiser variables (eviter hacks par URL)
        //

        $auth_login = "";
        $auth_pass = "";
        $auth_pass_ok = false;
        $auth_can_disconnect = false;
        $auth_htaccess = false;

        //
        // Recuperer les donnees d'identification
        //

        // Authentification session
        if ($cookie_session = $_COOKIE['spip_session']) {
                if (verifier_session($cookie_session)) {
                        if ($auteur_session['statut'] == '0minirezo'
                        OR $auteur_session['statut'] == '1comite') {
                                $auth_login = $auteur_session['login'];
                                $auth_pass_ok = true;
                                $auth_can_disconnect = true;
                        }
                }
        }

        // Peut-etre sommes-nous en auth http?
        else if ($_SERVER['PHP_AUTH_USER'] && $_SERVER['PHP_AUTH_PW']
        && !$ignore_auth_http) {

                // Si le login existe dans la base, se loger
                if (verifier_php_auth()) {
                        $auth_login = $_SERVER['PHP_AUTH_USER'];
                        $auth_pass_ok = true;
                        $auth_can_disconnect = true;
                        $_SERVER['PHP_AUTH_PW'] = '';
                }
                // Sinon c'est un login d'intranet independant de spip, on ignore
        }

        // Authentification .htaccess old style, car .htaccess semble
        // souvent definir *aussi* PHP_AUTH_USER et PHP_AUTH_PW
        else if ($GLOBALS['_SERVER']['REMOTE_USER']
        && !$ignore_remote_user) {
                $auth_login = $GLOBALS['_SERVER']['REMOTE_USER'];
                $auth_pass_ok = true;
                $auth_htaccess = true;
        }

        // Tentative de login echec
        if ($_GET['bonjour'] == 'oui' AND !$auth_login) {
                $link = new Link(_DIR_LOGIN . "spip_cookie.php3?test_echec_cookie=oui");
                $clean_link->delVar('bonjour');
                $url = str_replace('/./', '/', _DIR_LOGED_IN .$clean_link->getUrl());
                $link->addVar('url', $url);
                redirige_par_entete($link->getUrl());
                exit;
        }

        // Si pas authentifie, demander login / mdp
        if (!$auth_login) {
                $url = str_replace('/./', '/',  _DIR_LOGED_IN
                        . $clean_link->getUrl());
                redirige_par_entete(_DIR_LOGIN . "spip_login.php3?url=".urlencode($url));
                exit;
        }


        //
        // Chercher le login dans la table auteurs
        //

        $auth_login = addslashes($auth_login);
        $query = "SELECT * FROM spip_auteurs WHERE login='$auth_login' AND statut!='5poubelle' AND statut!='6forum'";
        $result = @spip_query($query);

        if ($row = spip_fetch_array($result)) {
                $connect_id_auteur = $row['id_auteur'];
                $connect_nom = $row['nom'];
                $connect_bio = $row['bio'];
                $connect_email = $row['email'];
                $connect_nom_site = $row['nom_site'];
                $connect_url_site = $row['url_site'];
                $connect_login = $row['login'];
                $connect_pass = $row['pass'];
                $connect_statut = $row['statut'];
                $connect_activer_messagerie = "oui"; //$row["messagerie"];
                $connect_activer_imessage = "oui "; //$row["imessage"];

                // Special : si dans la fiche auteur on modifie les valeurs
                // de messagerie, utiliser ces valeurs plutot que celle de la base.
                // D'ou leger bug si on modifie la fiche de quelqu'un d'autre.

                // regler les preferences de l'auteur
                $prefs = unserialize($row['prefs']);

                // vieux ! on pourra supprimer post 1.6 finale...
                if (! isset($prefs['display'])) { // recuperer les cookies ou creer defaut
                        if (!$GLOBALS['set_disp'] = $GLOBALS['_COOKIE']['spip_display'])
                                $GLOBALS['set_disp'] = 2;
                        if (!$GLOBALS['set_couleur'] = $GLOBALS['_COOKIE']['spip_couleur'])
                                $GLOBALS['set_couleur'] = 6;
                        if (!$GLOBALS['set_options'] = $GLOBALS['_COOKIE']['spip_options'])
                                $GLOBALS['set_options'] = 'basiques';
                }

                // Indiquer connexion
                if ($connect_activer_messagerie != "non") {
                        @spip_query("UPDATE spip_auteurs SET en_ligne=NOW() WHERE id_auteur='$connect_id_auteur'");
                }

                // Si administrateur, recuperer les rubriques gerees par l'admin
                if ($connect_statut == '0minirezo') {
                        $query_admin = "SELECT id_rubrique FROM spip_auteurs_rubriques WHERE id_auteur=$connect_id_auteur AND id_rubrique!='0'";
                        $result_admin = spip_query($query_admin);

                        $connect_toutes_rubriques = (@spip_num_rows($result_admin) == 0);
                        if ($connect_toutes_rubriques) {
                                $connect_id_rubrique = array();
                        }
                        else {
                                for (;;) {
                                        $r = '';
                                        while ($row_admin = spip_fetch_array($result_admin)) {
                                                $id_rubrique = $row_admin['id_rubrique'];
                                                $r[] = $id_rubrique;
                                                $connect_id_rubrique[$id_rubrique] = $id_rubrique;
                                        }
                                        if (!$r) break;
                                        $r = join(',', $r);
                                        $query_admin = "SELECT id_rubrique FROM spip_rubriques WHERE id_parent IN ($r) AND id_rubrique NOT IN ($r)";
                                        $result_admin = spip_query($query_admin);
                                 }
                        }
                }
                // Si pas admin, acces egal a toutes rubriques
                else {
                        $connect_toutes_rubriques = false;
                        $connect_id_rubrique = array();
                }
        }
        else {
                // ici on est dans un cas limite : l'auteur a ete identifie OK
                // mais il n'existe pas dans la table auteur. Cause possible,
                // notamment, une restauration de base de donnees dans laquelle
                // il n'existe pas.
                include_ecrire('inc_presentation.php3');
                include_ecrire('inc_texte.php3');
                install_debut_html(_T('avis_erreur_connexion'));
                echo "<br><br><p>".
                  _T('texte_inc_auth_1', array('auth_login' => $auth_login)).
                  " <a href='" .
                  _DIR_LOGIN . "spip_cookie.php3?logout=$auth_login'>".
                _T('texte_inc_auth_2')."</A>"._T('texte_inc_auth_3');
                install_fin_html();
                exit;
        }

        if (!$auth_pass_ok) {
                redirige_par_entete(_DIR_LOGIN . "spip_login.php3?var_erreur=pass");
        }

        // Si c'est un nouvel inscrit, le passer de 'nouveau' a '1comite'
        // (code presque mort, utilise peut-etre encore sous .htpasswd ?)
        if ($connect_statut == 'nouveau') {
                $connect_statut =
                (lire_meta('accepter_inscriptions') == 'oui') ? '1comite' : '6forum';
                spip_query("UPDATE spip_auteurs SET statut='$connect_statut'
                        WHERE id_auteur=$connect_id_auteur");
        }

        return true;
}


if (!auth()) exit;

?>