4 * (c) 2008 Cedric Morin Yterium.net
9 if (!defined("_ECRIRE_INC_VERSION")) return;
11 function nospam_hash_env() {
13 if ($res) return $res;
14 $ip = explode('.',$GLOBALS['ip']);
16 $ip = implode('.',$ip).".xxx";
17 $res = md5($ip. $_SERVER['HTTP_USER_AGENT']);
18 #spip_log("jeton $res pour ".$ip. $_SERVER['HTTP_USER_AGENT'],"jetons");
24 * Calcule une cle de jeton pour un formulaire
29 * identifiant du visiteur a qui est attribue le jeton
33 function creer_jeton($form, $qui=NULL) {
34 $time = date('Y-m-d-H');
36 if (isset($GLOBALS['visiteur_session']['id_auteur']) AND intval($GLOBALS['visiteur_session']['id_auteur']))
37 $qui = ":".$GLOBALS['visiteur_session']['id_auteur'].":".$GLOBALS['visiteur_session']['nom'];
38 elseif (!defined('_IS_BOT') OR !_IS_BOT
) { // pas de jeton pour les bots qui n'ont rien d'interessant a poster
39 $qui = nospam_hash_env();
42 include_spip('inc/securiser_action');
43 // le jeton prend en compte l'heure et l'identite de l'internaute
44 return calculer_cle_action("jeton$form$time$qui");
48 * Verifie une cle de jeton pour un formulaire
50 * @param string $jeton
52 * @param string $form nom du formulaire
55 * identifiant du visiteur a qui est attribue le jeton
56 * @return bool cle correcte ?
58 function verifier_jeton($jeton, $form, $qui=NULL) {
60 $time_old = date('Y-m-d-H',$time-3600);
61 $time = date('Y-m-d-H',$time);
64 if (isset($GLOBALS['visiteur_session']['id_auteur']) AND intval($GLOBALS['visiteur_session']['id_auteur']))
65 $qui = ":".$GLOBALS['visiteur_session']['id_auteur'].":".$GLOBALS['visiteur_session']['nom'];
67 $qui = nospam_hash_env();
71 $ok = (verifier_cle_action("jeton$form$time$qui",$jeton)
72 or verifier_cle_action("jeton$form$time_old$qui",$jeton));
74 # spip_log("Erreur form:$form qui:$qui agent:".$_SERVER['HTTP_USER_AGENT']." ip:".$GLOBALS['ip'],'fauxjeton');
80 * Compte le nombre de caracteres d'une chaine,
81 * mais en supprimant tous les liens
82 * (qu'ils soient ou non ecrits en raccourcis SPIP)
83 * ainsi que tous les espaces en trop
85 * @param string $texte
88 * passer le texte dans propre ou non
90 * compte du texte nettoye
92 function compter_caracteres_utiles($texte, $propre=true) {
93 include_spip('inc/charsets');
94 if ($propre) $texte = propre($texte);
95 $u = $GLOBALS['meta']['pcre_u'];
96 // regarder si il y a du contenu en dehors des liens !
97 $texte = PtoBR($texte);
98 $texte = preg_replace(",<a.*</a>,{$u}Uims",'',$texte);
99 // \W matche tous les caracteres non ascii apres 0x80
100 // et vide donc les chaines constitues de caracteres unicodes uniquement
101 // on remplace par un match qui elimine uniquement
102 // les non \w et les non unicodes
103 $texte = trim(preg_replace(",[^\w\x80-\xFF]+,ims",' ',$texte));
105 // on utilise spip_strlen pour compter la longueur correcte
106 // pour les chaines unicodes
107 return spip_strlen($texte);
112 * Retourne un tableau d'analyse du texte transmis
113 * Cette analyse concerne principalement des statistiques sur les liens
115 * @param string $texte texte d'entree
116 * @return array rapport d'analyse
118 function analyser_spams($texte) {
120 'caracteres_utiles' => 0, // nombre de caracteres sans les liens
121 'nombre_liens' => 0, // nombre de liens
122 'caracteres_texte_lien_min' => 0, // nombre de caracteres du plus petit titre de lien
125 if (!$texte) return $infos;
127 // on travaille d'abord sur le texte 'brut' tel que saisi par
128 // l'utilisateur pour ne pas avoir les class= et style= que spip ajoute
129 // sur les raccourcis.
131 // on ne tient pas compte des blocs <code> et <cadre> ni de leurs contenus
132 include_spip("inc/texte_mini");
133 if (!function_exists('echappe_html')) // SPIP 2.x
134 include_spip("inc/texte");
135 $texte_humain = echappe_html($texte);
136 // on repère dans ce qui reste la présence de style= ou class= qui peuvent
137 // servir à masquer du contenu
138 // les spammeurs utilisent le laxisme des navigateurs pour envoyer aussi style =
139 // soyons donc mefiant
140 // (mais en enlevant le base64 !)
141 $texte_humain = str_replace('class="base64"','',$texte_humain);
142 $hidden = ",(<(img|object)|\s(?:style|class)\s*=[^>]+>),UimsS";
143 if (preg_match($hidden,$texte_humain)) {
145 $infos['contenu_cache'] = true;
148 include_spip('inc/texte');
149 $texte = propre($texte);
152 $infos['caracteres_utiles'] = compter_caracteres_utiles($texte, false);
155 $liens = array_filter(extraire_balises($texte,'a'),'pas_lien_ancre');
156 $infos['nombre_liens'] = count($liens);
157 $infos['liens'] = $liens;
159 // taille du titre de lien minimum
161 // supprimer_tags() s'applique a tout le tableau,
162 // mais attention a verifier dans le temps que ca continue a fonctionner
163 # $titres_liens = array_map('supprimer_tags', $liens);
164 $titres_liens = supprimer_tags($liens);
165 $titres_liens = array_map('strlen', $titres_liens);
166 $infos['caracteres_texte_lien_min'] = min($titres_liens);
172 * Vérifier si un lien est *n'est pas* une ancre : dans ce cas, ne pas le compte (ici, fonction de filtre de tableau)
173 * Cette analyse concerne principalement des statistiques sur les liens
175 * @param string $texte lien
176 * @return boolean : true ->
178 function pas_lien_ancre($texte){
179 return substr(extraire_attribut($texte,'href'),0,1) == '#' ?
false : true;
184 * Compare les domaines des liens fournis avec la presence dans la base
186 * @param array $liens
187 * liste des liens html
189 * seuil de detection de presence : nombre d'enregistrement qui ont deja un lien avec le meme domaine
190 * @param string $table
192 * @param array $champs
193 * champs a prendre en compte dans la detection
194 * @param null|string $condstatut
195 * condition sur le statut='spam' pour ne regarder que les enregistrement en statut spam
198 function rechercher_presence_liens_spammes($liens,$seuil,$table,$champs,$condstatut=null){
199 include_spip("inc/filtres");
201 if (is_null($condstatut))
202 $condstatut = "statut=".sql_quote('spam');
204 $condstatut = "$condstatut AND ";
206 // limiter la recherche au mois precedent
207 $trouver_table = charger_fonction("trouver_table","base");
208 if ($desc = $trouver_table($table)
209 AND isset($desc['date'])){
210 $depuis = date('Y-m-d H:i:s',strtotime("-1 month"));
211 $condstatut .= $desc['date'].">".sql_quote($depuis)." AND ";
214 // ne pas prendre en compte les liens sur le meme domaine que celui du site
216 $tests = array($GLOBALS['meta']['adresse_site'],url_de_base());
217 foreach ($tests as $t){
218 if ($parse = parse_url($t)
220 $host = explode(".",$parse['host']);
221 while (count($host)>2) array_shift($host);
222 $allowed[] = implode(".",$host);
225 if (count($allowed)){
226 $allowed = array_map('preg_quote',$allowed);
227 $allowed = implode("|",$allowed);
228 $allowed = "/($allowed)$/";
229 spip_log("domaines whitelist pour les liens spams : $allowed","nospam");
236 foreach ($liens as $lien){
237 $url = extraire_attribut($lien,"href");
238 if ($parse = parse_url($url)
240 AND (!$allowed OR !preg_match($allowed,$parse['host'])))
241 $hosts[] = $parse['host'];
244 $hosts = array_unique($hosts);
245 $hosts = array_filter($hosts);
247 // pour chaque host figurant dans un lien, regarder si on a pas deja eu des spams avec ce meme host
248 // auquel cas on refuse poliment le message
249 foreach($hosts as $h){
250 $like = " LIKE ".sql_quote("%$h%");
251 $where = $condstatut . "(".implode("$like OR ",$champs)."$like)";
252 if (($n=sql_countsel($table,$where))>=$seuil){
253 // loger les 10 premiers messages concernes pour aider le webmestre
254 $all = sql_allfetsel(id_table_objet($table),$table,$where,'','','0,10');
255 $all = array_map('reset',$all);
256 spip_log("$n liens trouves $like dans table $table (".implode(",",$all).") [champs ".implode(',',$champs)."]","nospam");