-<?php\r
-\r
-/***************************************************************************\\r
- * SPIP, Systeme de publication pour l'internet *\r
- * *\r
- * Copyright (c) 2001-2016 *\r
- * Arnaud Martin, Antoine Pitrou, Philippe Riviere, Emmanuel Saint-James *\r
- * *\r
- * Ce programme est un logiciel libre distribue sous licence GNU/GPL. *\r
- * Pour plus de details voir le fichier COPYING.txt ou l'aide en ligne. *\r
-\***************************************************************************/\r
-\r
-if (!defined("_ECRIRE_INC_VERSION")) return;\r
-\r
-include_spip('inc/forum');\r
-\r
-\r
-/**\r
- * Identification du formulaire poste : ne pas tenir compte de la previsu et du retour\r
- * @param $objet\r
- * @param $id_objet\r
- * @param $id_forum\r
- * @param $ajouter_mot\r
- * @param $ajouter_groupe\r
- * @param $afficher_previsu\r
- * @param $retour\r
- * @return array\r
- */\r
-function formulaires_forum_identifier_dist($objet, $id_objet, $id_forum,$ajouter_mot, $ajouter_groupe, $afficher_previsu, $retour){\r
- return array($objet, $id_objet, $id_forum,$ajouter_mot, $ajouter_groupe);\r
-}\r
-\r
-/**\r
- * Charger l'env du squelette de #FORMULAIRE_FORUM\r
- * @param string $objet\r
- * @param int $id_objet\r
- * @param int $id_forum\r
- * @param int|array $ajouter_mot\r
- * mots ajoutés cochés par defaut\r
- * @param $ajouter_groupe\r
- * groupes ajoutables\r
- * @param $afficher_previsu\r
- * previsu oui ou non\r
- * @param $retour\r
- * url de retour\r
- * @return array|bool\r
- */\r
-function formulaires_forum_charger_dist($objet, $id_objet, $id_forum,\r
- $ajouter_mot, $ajouter_groupe, $afficher_previsu, $retour){\r
-\r
- if (!function_exists($f = 'forum_recuperer_titre'))\r
- $f = 'forum_recuperer_titre_dist';\r
- if (!$titre = $f($objet, $id_objet, $id_forum))\r
- return false;\r
-\r
- // ca s'apparenterait presque a une autorisation...\r
- // si on n'avait pas a envoyer la valeur $accepter_forum au formulaire\r
- $accepter_forum = controler_forum($objet, $id_objet);\r
- if ($accepter_forum=='non'){\r
- return false;\r
- }\r
-\r
- $primary = id_table_objet($objet);\r
-\r
- // table a laquelle sont associes les mots :\r
- if ($GLOBALS['meta']["mots_cles_forums"]!="oui")\r
- $table = '';\r
- else\r
- $table = table_objet($objet);\r
-\r
- // exiger l'authentification des posteurs pour les forums sur abo\r
- if ($accepter_forum=="abo"){\r
- if (!isset($GLOBALS["visiteur_session"]['statut']) OR !$GLOBALS["visiteur_session"]['statut']){\r
- return array(\r
- 'action' => '', #ne sert pas dans ce cas, on la vide pour mutualiser le cache\r
- 'editable' => false,\r
- 'login_forum_abo' => ' ',\r
- 'inscription' => generer_url_public('identifiants', 'lang=' . $GLOBALS['spip_lang']),\r
- 'oubli' => generer_url_public('spip_pass', 'lang=' . $GLOBALS['spip_lang'], true),\r
- );\r
- }\r
- }\r
-\r
-\r
- // Tableau des valeurs servant au calcul d'une signature de securite.\r
- // Elles seront placees en Input Hidden pour que inc/forum_insert\r
- // recalcule la meme chose et verifie l'identite des resultats.\r
- // Donc ne pas changer la valeur de ce tableau entre le calcul de\r
- // la signature et la fabrication des Hidden\r
- // Faire attention aussi a 0 != ''\r
- $ids = array();\r
- $ids[$primary] = ($x = intval($id_objet)) ? $x : '';\r
- $ids['id_objet'] = ($x = intval($id_objet)) ? $x : '';\r
- $ids['objet'] = $objet;\r
- $ids['id_forum'] = ($x = intval($id_forum)) ? $x : '';\r
-\r
- // ne pas mettre '', sinon le squelette n'affichera rien.\r
- $previsu = ' ';\r
-\r
- if (_request('formulaire_action')){\r
- $arg = forum_fichier_tmp(join('', $ids));\r
-\r
- $securiser_action = charger_fonction('securiser_action', 'inc');\r
- // on sait que cette fonction est dans le fichier associe\r
- $hash = calculer_action_auteur("ajout_forum-$arg");\r
- }\r
- else {\r
- $arg = $hash = '';\r
- }\r
-\r
- // pour les hidden\r
- $script_hidden = "";\r
- foreach ($ids as $id => $v)\r
- $script_hidden .= "<input type='hidden' name='$id' value='$v' />";\r
-\r
- $script_hidden .= "<input type='hidden' name='arg' value='$arg' />";\r
- $script_hidden .= "<input type='hidden' name='hash' value='$hash' />";\r
- $script_hidden .= "<input type='hidden' name='verif_$hash' value='ok' />";\r
-\r
- if ($formats = forum_documents_acceptes()){\r
- include_spip('inc/securiser_action');\r
- $cle = calculer_cle_action('ajouter-document-' . $objet . '-' . $id_objet);\r
- }\r
- else {\r
- $cle = null;\r
- }\r
-\r
- // Valeurs par defaut du formulaire\r
- // si le formulaire a ete sauvegarde, restituer les valeurs de session\r
- $vals = array(\r
- 'titre' => $titre,\r
- 'texte' => '',\r
- 'nom_site' => '',\r
- 'url_site' => 'http://'\r
- );\r
-\r
- return array_merge($vals, array(\r
- 'modere' => (($accepter_forum!='pri') ? '' : ' '),\r
- 'table' => $table,\r
- 'config' => array('afficher_barre' => ($GLOBALS['meta']['forums_afficher_barre']!='non' ? ' ' : '')),\r
- '_hidden' => $script_hidden, # pour les variables hidden qui seront inserees dans le form et dans le form de previsu\r
- 'cle_ajouter_document' => $cle,\r
- 'formats_documents_forum' => forum_documents_acceptes(),\r
- 'ajouter_document' => isset($_FILES['ajouter_document']['name']) ? $_FILES['ajouter_document']['name'] : '',\r
- 'nobot' => ($cle ? _request($cle) : _request('nobot')),\r
- 'ajouter_groupe' => $ajouter_groupe,\r
- 'ajouter_mot' => (is_array($ajouter_mot) ? $ajouter_mot : array($ajouter_mot)),\r
- 'id_forum' => $id_forum, // passer id_forum au formulaire pour lui permettre d'afficher a quoi l'internaute repond\r
- '_sign' => implode('_', $ids),\r
- '_autosave_id' => $ids,\r
- ));\r
-}\r
-\r
-\r
-/**\r
- * Une securite qui nous protege contre :\r
- * - les doubles validations de forums (derapages humains ou des brouteurs)\r
- * - les abus visant a mettre des forums malgre nous sur un article (??)\r
- * On installe un fichier temporaire dans _DIR_TMP (et pas _DIR_CACHE\r
- * afin de ne pas bugguer quand on vide le cache)\r
- * Le lock est leve au moment de l'insertion en base (inc-messforum)\r
- * Ce systeme n'est pas fonctionnel pour les forums sans previsu (notamment\r
- * si $afficher_previsu = 'non')\r
- *\r
- * https://code.spip.net/@forum_fichier_tmp\r
- *\r
- * @param $arg\r
- * @return int\r
- */\r
-function forum_fichier_tmp($arg){\r
-# astuce : mt_rand pour autoriser les hits simultanes\r
- while (($alea = time()+@mt_rand())+intval($arg)\r
- AND @file_exists($f = _DIR_TMP . "forum_$alea.lck")){\r
- }\r
- ;\r
- spip_touch($f);\r
-\r
-# et maintenant on purge les locks de forums ouverts depuis > 4 h\r
-\r
- if ($dh = @opendir(_DIR_TMP)){\r
- while (($file = @readdir($dh))!==false){\r
- if (preg_match('/^forum_([0-9]+)\.lck$/', $file)\r
- AND (time()-@filemtime(_DIR_TMP . $file)>4*3600)\r
- )\r
- spip_unlink(_DIR_TMP . $file);\r
- }\r
- }\r
- return $alea;\r
-}\r
-\r
-/**\r
- * Verifier la saisie de #FORMULAIRE_FORUM\r
- * @param string $objet\r
- * @param int $id_objet\r
- * @param int $id_forum\r
- * @param int|array $ajouter_mot\r
- * mots ajout�s coch�s par defaut\r
- * @param $ajouter_groupe\r
- * groupes ajoutables\r
- * @param $afficher_previsu\r
- * previsu oui ou non\r
- * @param $retour\r
- * url de retour\r
- * @return array|bool\r
- */\r
-function formulaires_forum_verifier_dist($objet, $id_objet, $id_forum,\r
- $ajouter_mot, $ajouter_groupe, $afficher_previsu, $retour){\r
- include_spip('inc/acces');\r
- include_spip('inc/texte');\r
- include_spip('inc/session');\r
- include_spip('base/abstract_sql');\r
-\r
- $erreurs = array();\r
- $doc = array();\r
-\r
- // desactiver id_rubrique si un id_article ou autre existe dans le contexte\r
- // if ($id_article OR $id_breve OR $id_forum OR $id_syndic)\r
- // $id_rubrique = 0;\r
-\r
- // stocker un eventuel document dans un espace temporaire\r
- // portant la cle du formulaire ; et ses metadonnees avec\r
-\r
- if (isset($_FILES['ajouter_document'])\r
- AND $_FILES['ajouter_document']['tmp_name']){\r
-\r
- $acceptes = forum_documents_acceptes();\r
- if (\r
- // si on a poste un $_FILES mais que l'option n'est pas active : cas produit par les bots qui spamment automatiquement\r
- !count($acceptes)\r
- // securite :\r
- // verifier si on possede la cle (ie on est autorise a poster)\r
- // (sinon tant pis) ; cf. charger.php pour la definition de la cle\r
- OR _request('cle_ajouter_document')!=calculer_cle_action($a = "ajouter-document-$objet-$id_objet")\r
- ){\r
- $erreurs['document_forum'] = _T('forum:documents_interdits_forum');\r
- unset($_FILES['ajouter_document']);\r
- }\r
- else {\r
- if (!isset($GLOBALS['visiteur_session']['tmp_forum_document']))\r
- session_set('tmp_forum_document', sous_repertoire(_DIR_TMP, 'documents_forum') . md5(uniqid(rand())));\r
-\r
- $tmp = $GLOBALS['visiteur_session']['tmp_forum_document'];\r
- $doc = &$_FILES['ajouter_document'];\r
-\r
- include_spip('inc/joindre_document');\r
- include_spip('action/ajouter_documents');\r
- list($extension, $doc['name']) = fixer_extension_document($doc);\r
-\r
- if (!in_array($extension, $acceptes)){\r
- $erreurs['document_forum'] = _T('public:formats_acceptes', array('formats' => join(', ', $acceptes)));\r
- }\r
- else {\r
- include_spip('inc/getdocument');\r
- if (!deplacer_fichier_upload($doc['tmp_name'], $tmp . '.bin'))\r
- $erreurs['document_forum'] = _T('copie_document_impossible');\r
-\r
- # else if (...)\r
- # verifier le type_document autorise\r
- # retailler eventuellement les photos\r
- }\r
-\r
- // si ok on stocke les meta donnees, sinon on efface\r
- if (isset($erreurs['document_forum'])){\r
- spip_unlink($tmp . '.bin');\r
- unset ($_FILES['ajouter_document']);\r
- } else {\r
- $doc['tmp_name'] = $tmp . '.bin';\r
- ecrire_fichier($tmp . '.txt', serialize($doc));\r
- }\r
- }\r
- }\r
- // restaurer/supprimer le document eventuellement uploade au tour precedent\r
- elseif (isset($GLOBALS['visiteur_session']['tmp_forum_document'])\r
- AND $tmp = $GLOBALS['visiteur_session']['tmp_forum_document']\r
- AND file_exists($tmp . '.bin')){\r
- if (_request('supprimer_document_ajoute')){\r
- spip_unlink($tmp . '.bin');\r
- spip_unlink($tmp . '.txt');\r
- }\r
- elseif (lire_fichier($tmp . '.txt', $meta)){\r
- $doc = &$_FILES['ajouter_document'];\r
- $doc = @unserialize($meta);\r
- }\r
- }\r
-\r
- $min_length = (defined('_FORUM_LONGUEUR_MINI') ? _FORUM_LONGUEUR_MINI : 10);\r
- if (strlen($texte = _request('texte'))<$min_length\r
- AND !$ajouter_mot AND $GLOBALS['meta']['forums_texte']=='oui'\r
- ){\r
- $erreurs['texte'] = _T($min_length==10 ? 'forum:forum_attention_dix_caracteres' : 'forum:forum_attention_nb_caracteres_mini', array('min' => $min_length));\r
- }\r
- elseif (defined('_FORUM_LONGUEUR_MAXI')\r
- AND _FORUM_LONGUEUR_MAXI>0\r
- AND strlen($texte)>_FORUM_LONGUEUR_MAXI){\r
- $erreurs['texte'] = _T('forum:forum_attention_trop_caracteres',\r
- array(\r
- 'compte' => strlen($texte),\r
- 'max' => _FORUM_LONGUEUR_MAXI\r
- ));\r
- }\r
-\r
- if (array_reduce($_POST, 'reduce_strlen', (20*1024))<0){\r
- $erreurs['erreur_message'] = _T('forum:forum_message_trop_long');\r
- }\r
- else {\r
- // Ne pas autoriser d'envoi hacke si forum sur abonnement\r
- if (controler_forum($objet, $id_objet)=='abo'\r
- AND !test_espace_prive()){\r
- if (!isset($GLOBALS['visiteur_session'])\r
- OR !isset($GLOBALS['visiteur_session']['statut'])){\r
- $erreurs['erreur_message'] = _T('forum_non_inscrit');\r
- }\r
- elseif ($GLOBALS['visiteur_session']['statut']=='5poubelle') {\r
- $erreurs['erreur_message'] = _T('forum:forum_acces_refuse');\r
- }\r
- }\r
- }\r
-\r
- if (strlen($titre = _request('titre'))<3\r
- AND $GLOBALS['meta']['forums_titre']=='oui'){\r
- $erreurs['titre'] = _T('forum:forum_attention_trois_caracteres');\r
- }\r
-\r
- if (!count($erreurs) AND !_request('confirmer_previsu_forum')){\r
- if ($afficher_previsu!='non'){\r
- $previsu = inclure_previsu($texte, $titre, _request('url_site'), _request('nom_site'), _request('ajouter_mot'), $doc,\r
- $objet, $id_objet, $id_forum);\r
- $erreurs['previsu'] = $previsu;\r
- }\r
- }\r
-\r
- // Si forum avec previsu sans bon hash de securite, echec\r
- if (!count($erreurs)){\r
- if (!test_espace_prive()\r
- AND $afficher_previsu<>'non'\r
- AND forum_insert_noprevisu()){\r
- $erreurs['erreur_message'] = _T('forum:forum_acces_refuse');\r
- }\r
- }\r
-\r
- return $erreurs;\r
-}\r
-\r
-\r
-/**\r
- * Lister les formats de documents joints acceptes dans les forum\r
- * @return array\r
- */\r
-function forum_documents_acceptes(){\r
- $formats = trim($GLOBALS['meta']['formats_documents_forum']);\r
- if (!$formats) return array();\r
- if ($formats!=='*'){\r
- $formats = array_filter(preg_split(',[^a-zA-Z0-9/+_],', $formats));\r
- }\r
- else {\r
- include_spip('base/typedoc');\r
- $formats = array_keys($GLOBALS['tables_mime']);\r
- }\r
- sort($formats);\r
- return $formats;\r
-}\r
-\r
-\r
-/**\r
- * Preparer la previsu d'un message de forum\r
- *\r
- * https://code.spip.net/@inclure_previsu\r
- *\r
- * @param string $texte\r
- * @param string $titre\r
- * @param string $url_site\r
- * @param string $nom_site\r
- * @param array $ajouter_mot\r
- * @param array $doc\r
- * @param string $objet\r
- * @param int $id_objet\r
- * @param int $id_forum\r
- * @return string\r
- */\r
-function inclure_previsu($texte, $titre, $url_site, $nom_site, $ajouter_mot, $doc,\r
- $objet, $id_objet, $id_forum){\r
- global $table_des_traitements;\r
-\r
- $bouton = _T('forum:forum_message_definitif');\r
- include_spip('public/assembler');\r
- include_spip('public/composer');\r
-\r
- // appliquer les traitements de #TEXTE a la previsu\r
- // comme on voit c'est complique... y a peut-etre plus simple ?\r
- // recuperer les filtres eventuels de 'mes_fonctions.php' sur les balises\r
- include_spip('public/parametrer');\r
- $tmptexte = "";\r
- $evaltexte = isset($table_des_traitements['TEXTE']['forums'])\r
- ? $table_des_traitements['TEXTE']['forums']\r
- : $table_des_traitements['TEXTE'][0];\r
- $evaltexte = '$tmptexte = ' . str_replace('%s', '$texte', $evaltexte) . ';';\r
- // evaluer...\r
- // [fixme]\r
- // $connect et $Pile ne sont pas definis ici :/\r
- // mais font souvent partie des variables appelees par les traitements\r
- $connect = "";\r
- $Pile = array(0 => array());\r
- eval($evaltexte);\r
-\r
- // supprimer les <form> de la previsualisation\r
- // (sinon on ne peut pas faire <cadre>...</cadre> dans les forums)\r
- return preg_replace("@<(/?)form\b@ism",\r
- '<\1div',\r
- inclure_balise_dynamique(array('formulaires/inc-forum_previsu',\r
- 0,\r
- array(\r
- 'titre' => safehtml(typo($titre)),\r
- 'texte' => $tmptexte,\r
- 'notes' => safehtml(calculer_notes()),\r
- 'url_site' => vider_url($url_site),\r
- 'nom_site' => safehtml(typo($nom_site)),\r
- 'ajouter_mot' => (is_array($ajouter_mot) ? $ajouter_mot : array($ajouter_mot)),\r
- 'ajouter_document' => $doc,\r
- #'erreur' => $erreur, // non definie ?\r
- 'bouton' => $bouton,\r
- 'objet' => $objet,\r
- 'id_objet' => $id_objet,\r
- 'id_forum' => $id_forum\r
- )\r
- ), false));\r
-}\r
-\r
-\r
-/**\r
- * Traiter la saisie de #FORMULAIRE_FORUM\r
- * tout est delegue a inc_forum_insert()\r
- *\r
- * @param string $objet\r
- * @param int $id_objet\r
- * @param int $id_forum\r
- * @param int|array $ajouter_mot\r
- * mots ajoutes coches par defaut\r
- * @param $ajouter_groupe\r
- * groupes ajoutables\r
- * @param $afficher_previsu\r
- * previsu oui ou non\r
- * @param $retour\r
- * url de retour\r
- * @return array|bool\r
- */\r
-function formulaires_forum_traiter_dist($objet, $id_objet, $id_forum,\r
- $ajouter_mot, $ajouter_groupe, $afficher_previsu, $retour){\r
-\r
- $forum_insert = charger_fonction('forum_insert', 'inc');\r
-\r
- // Antispam basique :\r
- // si l'input invisible a ete renseigne, ca ne peut etre qu'un bot\r
- if (strlen(_request(_request('cle_ajouter_document')))){\r
- tracer_erreur_forum('champ interdit (nobot) rempli');\r
- return array('message_erreur' => _T('forum:erreur_enregistrement_message'));\r
- }\r
-\r
- if (defined('_FORUM_AUTORISER_POST_ID_FORUM')\r
- AND _FORUM_AUTORISER_POST_ID_FORUM\r
- AND _request('id_forum')){\r
- $id_forum = _request('id_forum');\r
- }\r
-\r
- $id_reponse = $forum_insert($objet, $id_objet, $id_forum);\r
-\r
-\r
- if ($id_reponse){\r
- // En cas de retour sur (par exemple) {#SELF}, on ajoute quand\r
- // meme #forum12 a la fin de l'url, sauf si un #ancre est explicite\r
- if ($retour){\r
- if (!strpos($retour, '#')){\r
- $retour .= '#forum' . $id_reponse;\r
- }\r
- }\r
- else {\r
- // le retour par defaut envoie sur le thread, ce qui permet\r
- // de traiter elegamment le cas des forums moderes a priori.\r
- // Cela assure aussi qu'on retrouve son message dans le thread\r
- // dans le cas des forums moderes a posteriori, ce qui n'est\r
- // pas plus mal.\r
- if (function_exists('generer_url_forum')){\r
- $retour = generer_url_forum($id_reponse);\r
- }\r
- else {\r
- $thread = sql_fetsel('id_thread', 'spip_forum', 'id_forum=' . $id_reponse);\r
- spip_log('id_thread=' . $thread['id_thread'], 'forum');\r
- $retour = generer_url_entite($thread['id_thread'], 'forum');\r
- }\r
- }\r
-\r
- $res = array('redirect' => $retour, 'id_forum' => $id_reponse);\r
- }\r
- else {\r
- $res = array('message_erreur' => _T('forum:erreur_enregistrement_message'));\r
- }\r
-\r
- return $res;\r
-}\r
-\r
-\r
-?>\r
+<?php
+
+/***************************************************************************\
+ * SPIP, Systeme de publication pour l'internet *
+ * *
+ * Copyright (c) 2001-2016 *
+ * Arnaud Martin, Antoine Pitrou, Philippe Riviere, Emmanuel Saint-James *
+ * *
+ * Ce programme est un logiciel libre distribue sous licence GNU/GPL. *
+ * Pour plus de details voir le fichier COPYING.txt ou l'aide en ligne. *
+\***************************************************************************/
+
+if (!defined("_ECRIRE_INC_VERSION")) {
+ return;
+}
+
+include_spip('inc/forum');
+
+/**
+ * Identification du formulaire poste : ne pas tenir compte de la previsu et du retour
+ *
+ * @param $objet
+ * @param $id_objet
+ * @param $id_forum
+ * @param $ajouter_mot
+ * @param $ajouter_groupe
+ * @param $afficher_previsu
+ * @param $retour
+ * @return array
+ */
+function formulaires_forum_identifier_dist(
+ $objet,
+ $id_objet,
+ $id_forum,
+ $ajouter_mot,
+ $ajouter_groupe,
+ $afficher_previsu,
+ $retour
+) {
+ return array($objet, $id_objet, $id_forum, $ajouter_mot, $ajouter_groupe);
+}
+
+
+/**
+ * Charger l'env du squelette de #FORMULAIRE_FORUM
+ *
+ * @param string $objet
+ * @param int $id_objet
+ * @param int $id_forum
+ * @param int|array $ajouter_mot
+ * mots ajoutés cochés par defaut
+ * @param $ajouter_groupe
+ * groupes ajoutables
+ * @param $forcer_previsu
+ * forcer la previsualisation du message oui ou non
+ * @param $retour
+ * url de retour
+ * @return array|bool
+ */
+function formulaires_forum_charger_dist(
+ $objet,
+ $id_objet,
+ $id_forum,
+ $ajouter_mot,
+ $ajouter_groupe,
+ $forcer_previsu,
+ $retour
+) {
+
+ if (!function_exists($f = 'forum_recuperer_titre')) {
+ $f = 'forum_recuperer_titre_dist';
+ }
+ if (!$titre = $f($objet, $id_objet, $id_forum)) {
+ return false;
+ }
+
+ // ca s'apparenterait presque a une autorisation...
+ // si on n'avait pas a envoyer la valeur $accepter_forum au formulaire
+ $accepter_forum = controler_forum($objet, $id_objet);
+ if ($accepter_forum == 'non') {
+ return false;
+ }
+
+ $primary = id_table_objet($objet);
+
+ // table a laquelle sont associes les mots :
+ if ($GLOBALS['meta']["mots_cles_forums"] != "oui") {
+ $table = '';
+ } else {
+ $table = table_objet($objet);
+ }
+
+ // exiger l'authentification des posteurs pour les forums sur abo
+ if ($accepter_forum == "abo") {
+ if (!isset($GLOBALS["visiteur_session"]['statut']) or !$GLOBALS["visiteur_session"]['statut']) {
+ return array(
+ 'action' => '', #ne sert pas dans ce cas, on la vide pour mutualiser le cache
+ 'editable' => false,
+ 'login_forum_abo' => ' ',
+ 'inscription' => generer_url_public('identifiants', 'lang=' . $GLOBALS['spip_lang']),
+ 'oubli' => generer_url_public('spip_pass', 'lang=' . $GLOBALS['spip_lang'], true),
+ );
+ }
+ }
+
+
+ // Tableau des valeurs servant au calcul d'une signature de securite.
+ // Elles seront placees en Input Hidden pour que inc/forum_insert
+ // recalcule la meme chose et verifie l'identite des resultats.
+ // Donc ne pas changer la valeur de ce tableau entre le calcul de
+ // la signature et la fabrication des Hidden
+ // Faire attention aussi a 0 != ''
+ $ids = array();
+ $ids[$primary] = ($x = intval($id_objet)) ? $x : '';
+ $ids['id_objet'] = ($x = intval($id_objet)) ? $x : '';
+ $ids['objet'] = $objet;
+ $ids['id_forum'] = ($x = intval($id_forum)) ? $x : '';
+
+ // par défaut, on force la prévisualisation du message avant de le poster
+ if (($forcer_previsu == 'non') or (empty($forcer_previsu) and $GLOBALS['meta']["forums_forcer_previsu"] == "non")) {
+ $forcer_previsu = 'non';
+ } else {
+ $forcer_previsu = 'oui';
+ }
+
+ if (_request('formulaire_action')) {
+ $arg = forum_fichier_tmp(join('', $ids));
+
+ $securiser_action = charger_fonction('securiser_action', 'inc');
+ // on sait que cette fonction est dans le fichier associe
+ $hash = calculer_action_auteur("ajout_forum-$arg");
+ } else {
+ $arg = $hash = '';
+ }
+
+ // pour les hidden
+ $script_hidden = "";
+ foreach ($ids as $id => $v) {
+ $script_hidden .= "<input type='hidden' name='$id' value='$v' />";
+ }
+
+ $script_hidden .= "<input type='hidden' name='arg' value='$arg' />";
+ $script_hidden .= "<input type='hidden' name='hash' value='$hash' />";
+ $script_hidden .= "<input type='hidden' name='verif_$hash' value='ok' />";
+
+ if ($formats = forum_documents_acceptes()) {
+ include_spip('inc/securiser_action');
+ $cle = calculer_cle_action('ajouter-document-' . $objet . '-' . $id_objet);
+ } else {
+ $cle = null;
+ }
+
+ // Valeurs par defaut du formulaire
+ // si le formulaire a ete sauvegarde, restituer les valeurs de session
+ $vals = array(
+ 'titre' => $titre,
+ 'texte' => '',
+ 'nom_site' => '',
+ 'url_site' => 'http://'
+ );
+
+ return array_merge($vals, array(
+ 'modere' => (($accepter_forum != 'pri') ? '' : ' '),
+ 'table' => $table,
+ 'config' => array('afficher_barre' => ($GLOBALS['meta']['forums_afficher_barre'] != 'non' ? ' ' : '')),
+ '_hidden' => $script_hidden, # pour les variables hidden qui seront inserees dans le form et dans le form de previsu
+ 'cle_ajouter_document' => $cle,
+ 'formats_documents_forum' => trim($GLOBALS['meta']['formats_documents_forum']) == '*' ? _T('forum:extensions_autorisees_toutes') : forum_documents_acceptes(),
+ 'ajouter_document' => isset($_FILES['ajouter_document']['name']) ? $_FILES['ajouter_document']['name'] : '',
+ 'nobot' => ($cle ? _request($cle) : _request('nobot')),
+ 'ajouter_groupe' => $ajouter_groupe,
+ 'ajouter_mot' => (is_array($ajouter_mot) ? $ajouter_mot : array($ajouter_mot)),
+ 'forcer_previsu' => $forcer_previsu,
+ 'id_forum' => $id_forum, // passer id_forum au formulaire pour lui permettre d'afficher a quoi l'internaute repond
+ '_sign' => implode('_', $ids),
+ '_autosave_id' => $ids,
+ ));
+}
+
+
+/**
+ * Une securite qui nous protege contre :
+ * - les doubles validations de forums (derapages humains ou des brouteurs)
+ * - les abus visant a mettre des forums malgre nous sur un article (??)
+ * On installe un fichier temporaire dans _DIR_TMP (et pas _DIR_CACHE
+ * afin de ne pas bugguer quand on vide le cache)
+ * Le lock est leve au moment de l'insertion en base (inc-messforum)
+ * Ce systeme n'est pas fonctionnel pour les forums sans previsu (notamment
+ * si $forcer_previsu = 'non')
+ *
+ * https://code.spip.net/@forum_fichier_tmp
+ *
+ * @param $arg
+ * @return int
+ */
+function forum_fichier_tmp($arg) {
+# astuce : mt_rand pour autoriser les hits simultanes
+ while (($alea = time() + @mt_rand()) + intval($arg)
+ and @file_exists($f = _DIR_TMP . "forum_$alea.lck")) {
+ };
+ spip_touch($f);
+
+# et maintenant on purge les locks de forums ouverts depuis > 4 h
+
+ if ($dh = opendir(_DIR_TMP)) {
+ while (($file = @readdir($dh)) !== false) {
+ if (preg_match('/^forum_([0-9]+)\.lck$/', $file)
+ and (time() - @filemtime(_DIR_TMP . $file) > 4 * 3600)
+ ) {
+ spip_unlink(_DIR_TMP . $file);
+ }
+ }
+ }
+
+ return $alea;
+}
+
+/**
+ * Verifier la saisie de #FORMULAIRE_FORUM
+ *
+ * @param string $objet
+ * @param int $id_objet
+ * @param int $id_forum
+ * @param int|array $ajouter_mot
+ * mots ajoutés cochés par defaut
+ * @param $ajouter_groupe
+ * groupes ajoutables
+ * @param $forcer_previsu
+ * forcer la previsualisation du message oui ou non
+ * @param $retour
+ * url de retour
+ * @return array|bool
+ */
+function formulaires_forum_verifier_dist(
+ $objet,
+ $id_objet,
+ $id_forum,
+ $ajouter_mot,
+ $ajouter_groupe,
+ $forcer_previsu,
+ $retour
+) {
+ include_spip('inc/acces');
+ include_spip('inc/texte');
+ include_spip('inc/session');
+ include_spip('base/abstract_sql');
+
+ // par défaut, on force la prévisualisation du message avant de le poster
+ if (($forcer_previsu == 'non') or (empty($forcer_previsu) and $GLOBALS['meta']["forums_forcer_previsu"] == "non")) {
+ $forcer_previsu = 'non';
+ } else {
+ $forcer_previsu = 'oui';
+ }
+
+ $erreurs = array();
+ $doc = array();
+
+ // desactiver id_rubrique si un id_article ou autre existe dans le contexte
+ // if ($id_article OR $id_breve OR $id_forum OR $id_syndic)
+ // $id_rubrique = 0;
+
+ // stocker un eventuel document dans un espace temporaire
+ // portant la cle du formulaire ; et ses metadonnees avec
+
+ if (isset($_FILES['ajouter_document'])
+ and $_FILES['ajouter_document']['tmp_name']
+ ) {
+
+ $acceptes = forum_documents_acceptes();
+ if (
+ // si on a poste un $_FILES mais que l'option n'est pas active : cas produit par les bots qui spamment automatiquement
+ !count($acceptes)
+ // securite :
+ // verifier si on possede la cle (ie on est autorise a poster)
+ // (sinon tant pis) ; cf. charger.php pour la definition de la cle
+ or _request('cle_ajouter_document') != calculer_cle_action($a = "ajouter-document-$objet-$id_objet")
+ ) {
+ $erreurs['document_forum'] = _T('forum:documents_interdits_forum');
+ unset($_FILES['ajouter_document']);
+ } else {
+ if (!isset($GLOBALS['visiteur_session']['tmp_forum_document'])) {
+ session_set('tmp_forum_document', sous_repertoire(_DIR_TMP, 'documents_forum') . md5(uniqid(rand())));
+ }
+
+ $tmp = $GLOBALS['visiteur_session']['tmp_forum_document'];
+ $doc = &$_FILES['ajouter_document'];
+
+ include_spip('inc/joindre_document');
+ include_spip('action/ajouter_documents');
+ list($extension, $doc['name']) = fixer_extension_document($doc);
+
+ if (!in_array($extension, $acceptes)) {
+ $erreurs['document_forum'] = _T('public:formats_acceptes', array('formats' => join(', ', $acceptes)));
+ } else {
+ include_spip('inc/getdocument');
+ if (!deplacer_fichier_upload($doc['tmp_name'], $tmp . '.bin')) {
+ $erreurs['document_forum'] = _T('copie_document_impossible');
+ }
+
+ # else if (...)
+ # verifier le type_document autorise
+ # retailler eventuellement les photos
+ }
+
+ // si ok on stocke les meta donnees, sinon on efface
+ if (isset($erreurs['document_forum'])) {
+ spip_unlink($tmp . '.bin');
+ unset($_FILES['ajouter_document']);
+ } else {
+ $doc['tmp_name'] = $tmp . '.bin';
+ ecrire_fichier($tmp . '.txt', serialize($doc));
+ }
+ }
+ } // restaurer/supprimer le document eventuellement uploade au tour precedent
+ elseif (isset($GLOBALS['visiteur_session']['tmp_forum_document'])
+ and $tmp = $GLOBALS['visiteur_session']['tmp_forum_document']
+ and file_exists($tmp . '.bin')
+ ) {
+ if (_request('supprimer_document_ajoute')) {
+ spip_unlink($tmp . '.bin');
+ spip_unlink($tmp . '.txt');
+ } elseif (lire_fichier($tmp . '.txt', $meta)) {
+ $doc = &$_FILES['ajouter_document'];
+ $doc = @unserialize($meta);
+ }
+ }
+
+ $min_length = (defined('_FORUM_LONGUEUR_MINI') ? _FORUM_LONGUEUR_MINI : 10);
+ if (strlen($texte = _request('texte')) < $min_length
+ and !$ajouter_mot and $GLOBALS['meta']['forums_texte'] == 'oui'
+ ) {
+ $erreurs['texte'] = _T($min_length == 10 ? 'forum:forum_attention_dix_caracteres' : 'forum:forum_attention_nb_caracteres_mini',
+ array('min' => $min_length));
+ } elseif (defined('_FORUM_LONGUEUR_MAXI')
+ and _FORUM_LONGUEUR_MAXI > 0
+ and strlen($texte) > _FORUM_LONGUEUR_MAXI
+ ) {
+ $erreurs['texte'] = _T('forum:forum_attention_trop_caracteres',
+ array(
+ 'compte' => strlen($texte),
+ 'max' => _FORUM_LONGUEUR_MAXI
+ ));
+ }
+
+ if (array_reduce($_POST, 'reduce_strlen', (20 * 1024)) < 0) {
+ $erreurs['erreur_message'] = _T('forum:forum_message_trop_long');
+ } else {
+ // Ne pas autoriser d'envoi hacke si forum sur abonnement
+ if (controler_forum($objet, $id_objet) == 'abo'
+ and !test_espace_prive()
+ ) {
+ if (!isset($GLOBALS['visiteur_session'])
+ or !isset($GLOBALS['visiteur_session']['statut'])
+ ) {
+ $erreurs['erreur_message'] = _T('forum_non_inscrit');
+ } elseif ($GLOBALS['visiteur_session']['statut'] == '5poubelle') {
+ $erreurs['erreur_message'] = _T('forum:forum_acces_refuse');
+ }
+ }
+ }
+
+ if (strlen($titre = _request('titre')) < 3
+ and $GLOBALS['meta']['forums_titre'] == 'oui'
+ ) {
+ $erreurs['titre'] = _T('forum:forum_attention_trois_caracteres');
+ }
+
+ if (!count($erreurs) and !_request('confirmer_previsu_forum')) {
+ if (!_request('envoyer_message') or $forcer_previsu <> 'non') {
+ $previsu = inclure_previsu($texte, $titre, _request('url_site'), _request('nom_site'), _request('ajouter_mot'),
+ $doc,
+ $objet, $id_objet, $id_forum);
+ $erreurs['previsu'] = $previsu;
+ $erreurs['message_erreur'] = ''; // on ne veut pas du message_erreur automatique
+ }
+ }
+
+ // Si forum avec previsu sans bon hash de securite, echec
+ if (!count($erreurs)) {
+ if (!test_espace_prive()
+ and $forcer_previsu <> 'non'
+ and forum_insert_noprevisu()
+ ) {
+ $erreurs['erreur_message'] = _T('forum:forum_acces_refuse');
+ }
+ }
+
+ return $erreurs;
+}
+
+
+/**
+ * Lister les formats de documents joints acceptes dans les forum
+ *
+ * @return array
+ */
+function forum_documents_acceptes() {
+ $formats = trim($GLOBALS['meta']['formats_documents_forum']);
+ if (!$formats) {
+ return array();
+ }
+ if ($formats !== '*') {
+ $formats = array_filter(preg_split(',[^a-zA-Z0-9/+_],', $formats));
+ } else {
+ include_spip('base/typedoc');
+ $formats = array_keys($GLOBALS['tables_mime']);
+ }
+ sort($formats);
+
+ return $formats;
+}
+
+
+/**
+ * Preparer la previsu d'un message de forum
+ *
+ * https://code.spip.net/@inclure_previsu
+ *
+ * @param string $texte
+ * @param string $titre
+ * @param string $url_site
+ * @param string $nom_site
+ * @param array $ajouter_mot
+ * @param array $doc
+ * @param string $objet
+ * @param int $id_objet
+ * @param int $id_forum
+ * @return string
+ */
+function inclure_previsu(
+ $texte,
+ $titre,
+ $url_site,
+ $nom_site,
+ $ajouter_mot,
+ $doc,
+ $objet,
+ $id_objet,
+ $id_forum
+) {
+ global $table_des_traitements;
+
+ $bouton = _T('forum:forum_message_definitif');
+ include_spip('public/assembler');
+ include_spip('public/composer');
+
+ // appliquer les traitements de #TEXTE a la previsu
+ // comme on voit c'est complique... y a peut-etre plus simple ?
+ // recuperer les filtres eventuels de 'mes_fonctions.php' sur les balises
+ include_spip('public/parametrer');
+ $tmptexte = "";
+ $evaltexte = isset($table_des_traitements['TEXTE']['forums'])
+ ? $table_des_traitements['TEXTE']['forums']
+ : $table_des_traitements['TEXTE'][0];
+ $evaltexte = '$tmptexte = ' . str_replace('%s', '$texte', $evaltexte) . ';';
+ // evaluer...
+ // [fixme]
+ // $connect et $Pile ne sont pas definis ici :/
+ // mais font souvent partie des variables appelees par les traitements
+ $connect = "";
+ $Pile = array(0 => array());
+ eval($evaltexte);
+
+ // supprimer les <form> de la previsualisation
+ // (sinon on ne peut pas faire <cadre>...</cadre> dans les forums)
+ return preg_replace("@<(/?)form\b@ism",
+ '<\1div',
+ inclure_balise_dynamique(array(
+ 'formulaires/inc-forum_previsu',
+ 0,
+ array(
+ 'titre' => safehtml(typo($titre)),
+ 'texte' => $tmptexte,
+ 'notes' => safehtml(calculer_notes()),
+ 'url_site' => vider_url($url_site),
+ 'nom_site' => safehtml(typo($nom_site)),
+ 'ajouter_mot' => (is_array($ajouter_mot) ? $ajouter_mot : array($ajouter_mot)),
+ 'ajouter_document' => $doc,
+ #'erreur' => $erreur, // non definie ?
+ 'bouton' => $bouton,
+ 'objet' => $objet,
+ 'id_objet' => $id_objet,
+ 'id_forum' => $id_forum
+ )
+ ), false));
+}
+
+
+/**
+ * Traiter la saisie de #FORMULAIRE_FORUM
+ * tout est delegue a inc_forum_insert()
+ *
+ * @param string $objet
+ * @param int $id_objet
+ * @param int $id_forum
+ * @param int|array $ajouter_mot
+ * mots ajoutes coches par defaut
+ * @param $ajouter_groupe
+ * groupes ajoutables
+ * @param $forcer_previsu
+ * forcer la previsualisation du message oui ou non
+ * @param $retour
+ * url de retour
+ * @return array|bool
+ */
+function formulaires_forum_traiter_dist(
+ $objet,
+ $id_objet,
+ $id_forum,
+ $ajouter_mot,
+ $ajouter_groupe,
+ $forcer_previsu,
+ $retour
+) {
+
+ $forum_insert = charger_fonction('forum_insert', 'inc');
+
+ // Antispam basique :
+ // si l'input invisible a ete renseigne, ca ne peut etre qu'un bot
+ if (strlen(_request(_request('cle_ajouter_document')))) {
+ tracer_erreur_forum('champ interdit (nobot) rempli');
+
+ return array('message_erreur' => _T('forum:erreur_enregistrement_message'));
+ }
+
+ if (defined('_FORUM_AUTORISER_POST_ID_FORUM')
+ and _FORUM_AUTORISER_POST_ID_FORUM
+ and _request('id_forum')
+ ) {
+ $id_forum = _request('id_forum');
+ }
+
+ $id_reponse = $forum_insert($objet, $id_objet, $id_forum);
+
+
+ if ($id_reponse) {
+ // En cas de retour sur (par exemple) {#SELF}, on ajoute quand
+ // meme #forum12 a la fin de l'url, sauf si un #ancre est explicite
+ if ($retour) {
+ if (!strpos($retour, '#')) {
+ $retour .= '#forum' . $id_reponse;
+ }
+ } else {
+ // le retour par defaut envoie sur le thread, ce qui permet
+ // de traiter elegamment le cas des forums moderes a priori.
+ // Cela assure aussi qu'on retrouve son message dans le thread
+ // dans le cas des forums moderes a posteriori, ce qui n'est
+ // pas plus mal.
+ if (function_exists('generer_url_forum')) {
+ $retour = generer_url_forum($id_reponse);
+ } else {
+ $thread = sql_fetsel('id_thread', 'spip_forum', 'id_forum=' . $id_reponse);
+ spip_log('id_thread=' . $thread['id_thread'], 'forum');
+ $retour = generer_url_entite($thread['id_thread'], 'forum');
+ }
+ }
+
+ $res = array('redirect' => $retour, 'id_forum' => $id_reponse);
+ } else {
+ $res = array('message_erreur' => _T('forum:erreur_enregistrement_message'));
+ }
+
+ return $res;
+}
dépôts / lhc / web / www.git / blobdiff