$action,'arg'=>$arg,'hash'=>$hash); else return generer_url_action($action, "arg=$arg&hash=$hash" . (!$r ? '' : "&redirect=$r"), $mode, $public); } // mode formulaire $hash = calculer_action_auteur("$action-$arg"); $att .= " style='margin: 0px; border: 0px'"; if ($redirect) $redirect = "\n\t\t"; $mode .= $redirect . " "; return generer_form_action($action, $mode, $att, $public); } /** * Caracteriser un auteur : l'auteur loge si $id_auteur=null * * http://doc.spip.org/@caracteriser_auteur * * @param int|null $id_auteur * @return array */ function caracteriser_auteur($id_auteur=null) { static $caracterisation = array(); if (is_null($id_auteur) AND !isset($GLOBALS['visiteur_session']['id_auteur'])) { // si l'auteur courant n'est pas connu alors qu'il peut demander une action // c'est une connexion par php_auth ou 1 instal, on se rabat sur le cookie. // S'il n'avait pas le droit de realiser cette action, le hash sera faux. if (isset($_COOKIE['spip_session']) AND (preg_match('/^(\d+)/',$_COOKIE['spip_session'],$r))) { return array($r[1], ''); // Necessaire aux forums anonymes. // Pour le reste, ca echouera. } else return array('0',''); } // Eviter l'acces SQL si le pass est connu de PHP if (is_null($id_auteur)){ $id_auteur = isset($GLOBALS['visiteur_session']['id_auteur'])?$GLOBALS['visiteur_session']['id_auteur']:0; if (isset($GLOBALS['visiteur_session']['pass']) AND $GLOBALS['visiteur_session']['pass']) return $caracterisation[$id_auteur] = array($id_auteur, $GLOBALS['visiteur_session']['pass']); } if (isset($caracterisation[$id_auteur])) return $caracterisation[$id_auteur]; if ($id_auteur) { include_spip('base/abstract_sql'); $t = sql_fetsel("id_auteur, pass", "spip_auteurs", "id_auteur=$id_auteur"); if ($t) return $caracterisation[$id_auteur] = array($t['id_auteur'], $t['pass']); include_spip('inc/minipres'); echo minipres(); exit; } // Visiteur anonyme, pour ls forums par exemple else { return array('0',''); } } /** * Calcule une cle securisee pour une action et un auteur donnes * utilisee pour generer des urls personelles pour executer une action qui modifie la base * et verifier la legitimite de l'appel a l'action * * http://doc.spip.org/@_action_auteur * * @param string $action * @param int $id_auteur * @param string $pass * @param string $alea * @return string */ function _action_auteur($action, $id_auteur, $pass, $alea) { static $sha = array(); if (!isset($sha[$id_auteur.$pass.$alea])){ if (!isset($GLOBALS['meta'][$alea]) AND _request('exec')!=='install') { include_spip('base/abstract_sql'); $GLOBALS['meta'][$alea] = sql_getfetsel('valeur', 'spip_meta', "nom=" . sql_quote($alea)); if (!($GLOBALS['meta'][$alea])) { include_spip('inc/minipres'); echo minipres(); spip_log("$alea indisponible"); exit; } } include_spip('auth/sha256.inc'); $sha[$id_auteur.$pass.$alea] = _nano_sha256($id_auteur.$pass.@$GLOBALS['meta'][$alea]); } if (function_exists('sha1')) return sha1($action.$sha[$id_auteur.$pass.$alea]); else return md5($action.$sha[$id_auteur.$pass.$alea]); } /** * Calculer le hash qui signe une action pour un auteur * http://doc.spip.org/@calculer_action_auteur * * @param string $action * @param int|null $id_auteur * @return string */ function calculer_action_auteur($action, $id_auteur=null) { list($id_auteur, $pass) = caracteriser_auteur($id_auteur); return _action_auteur($action, $id_auteur, $pass, 'alea_ephemere'); } /** * Verifier le hash de signature d'une action * toujours exclusivement pour l'auteur en cours * http://doc.spip.org/@verifier_action_auteur * * @param $action * @param $hash * @return bool */ function verifier_action_auteur($action, $hash) { list($id_auteur, $pass) = caracteriser_auteur(); if ($hash == _action_auteur($action, $id_auteur, $pass, 'alea_ephemere')) return true; if ($hash == _action_auteur($action, $id_auteur, $pass, 'alea_ephemere_ancien')) return true; return false; } // // Des fonctions independantes du visiteur, qui permettent de controler // par exemple que l'URL d'un document a la bonne cle de lecture // /** * Renvoyer le secret du site, et le generer si il n'existe pas encore * Le secret du site doit rester aussi secret que possible, et est eternel * On ne doit pas l'exporter * * http://doc.spip.org/@secret_du_site * * @return string */ function secret_du_site() { if (!isset($GLOBALS['meta']['secret_du_site'])){ include_spip('base/abstract_sql'); $GLOBALS['meta']['secret_du_site'] = sql_getfetsel('valeur', 'spip_meta', "nom='secret_du_site'"); } if (!isset($GLOBALS['meta']['secret_du_site']) OR (strlen($GLOBALS['meta']['secret_du_site'])<64)) { include_spip('inc/acces'); include_spip('auth/sha256.inc'); ecrire_meta('secret_du_site', _nano_sha256($_SERVER["DOCUMENT_ROOT"] . $_SERVER["SERVER_SIGNATURE"] . creer_uniqid()), 'non'); lire_metas(); // au cas ou ecrire_meta() ne fonctionne pas } return $GLOBALS['meta']['secret_du_site']; } /** * Calculer une signature valable pour une action et pour le site * http://doc.spip.org/@calculer_cle_action * * @param string $action * @return string */ function calculer_cle_action($action) { if (function_exists('sha1')) return sha1($action . secret_du_site()); else return md5($action . secret_du_site()); } /** * Verifier la cle de signature d'une action valable pour le site * http://doc.spip.org/@verifier_cle_action * * @param string $action * @param string $cle * @return bool */ function verifier_cle_action($action, $cle) { return ($cle == calculer_cle_action($action)); } ?>