3 /***************************************************************************\
4 * SPIP, Systeme de publication pour l'internet *
6 * Copyright (c) 2001-2019 *
7 * Arnaud Martin, Antoine Pitrou, Philippe Riviere, Emmanuel Saint-James *
9 * Ce programme est un logiciel libre distribue sous licence GNU/GPL. *
10 * Pour plus de details voir le fichier COPYING.txt ou l'aide en ligne. *
11 \***************************************************************************/
13 if (!defined('_ECRIRE_INC_VERSION')) {
17 include_spip('inc/headers');
19 // acces aux documents joints securise
20 // verifie soit que le demandeur est authentifie
21 // soit que le document est publie, c'est-a-dire
22 // joint a au moins 1 article ou rubrique publie
24 // https://code.spip.net/@action_acceder_document_dist
25 function action_acceder_document_dist() {
26 include_spip('inc/documents');
28 // $file exige pour eviter le scan id_document par id_document
29 $f = rawurldecode(_request('file'));
30 $file = get_spip_doc($f);
31 $arg = rawurldecode(_request('arg'));
34 if (strpos($f, '../') !== false
35 or preg_match(',^\w+://,', $f)
39 if (!file_exists($file) or !is_readable($file)) {
42 $where = 'D.fichier=' . sql_quote(set_spip_doc($file))
43 . ($arg ?
' AND D.id_document=' . intval($arg) : '');
46 'D.id_document, D.titre, D.fichier, T.mime_type, T.inclus, D.extension',
47 'spip_documents AS D LEFT JOIN spip_types_documents AS T ON D.extension=T.extension',
53 // ETag pour gerer le status 304
54 $ETag = md5($file . ': ' . filemtime($file));
55 if (isset($_SERVER['HTTP_IF_NONE_MATCH'])
56 and $_SERVER['HTTP_IF_NONE_MATCH'] == $ETag
58 http_status(304); // Not modified
61 header('ETag: ' . $ETag);
65 // Verifier les droits de lecture du document
66 // en controlant la cle passee en argument
68 include_spip('inc/securiser_action');
69 $cle = _request('cle');
70 if (!verifier_cle_action($doc['id_document'] . ',' . $f, $cle)) {
71 spip_log("acces interdit $cle erronee");
80 include_spip('inc/minipres');
86 include_spip('inc/minipres');
87 echo minipres(_T('erreur') . ' 404', _T('medias:info_document_indisponible'));
91 header('Content-Type: ' . $doc['mime_type']);
93 // pour les images ne pas passer en attachment
94 // sinon, lorsqu'on pointe directement sur leur adresse,
95 // le navigateur les downloade au lieu de les afficher
97 if ($doc['inclus'] == 'non') {
98 // Si le fichier a un titre avec extension,
99 // ou si c'est un nom bien connu d'Unix, le prendre
100 // sinon l'ignorer car certains navigateurs pataugent
102 $f = basename($file);
103 if (isset($doc['titre'])
104 and (preg_match('/^\w+[.]\w+$/', $doc['titre']) or $doc['titre'] == 'Makefile')
109 // ce content-type est necessaire pour eviter des corruptions de zip dans ie6
110 header('Content-Type: application/octet-stream');
112 header("Content-Disposition: attachment; filename=\"$f\";");
113 header('Content-Transfer-Encoding: binary');
115 // fix for IE catching or PHP bug issue
116 header('Pragma: public');
117 header('Expires: 0'); // set expiration time
118 header('Cache-Control: must-revalidate, post-check=0, pre-check=0');
121 if ($cl = filesize($file)) {
122 header('Content-Length: ' . $cl);
dépôts / lhc / web / www.git / blob