dépôts / velocampus / web / www.git / blob
? search:
summary | shortlog | log | commit | commitdiff | tree
history | raw | HEAD
[SPIP] ~2.1.12 -->2.1.25
[velocampus/web/www.git] / www / ecrire / inc / session.php
1 <?php
2
3 /***************************************************************************\
4 * SPIP, Systeme de publication pour l'internet *
5 * *
6 * Copyright (c) 2001-2014 *
7 * Arnaud Martin, Antoine Pitrou, Philippe Riviere, Emmanuel Saint-James *
8 * *
9 * Ce programme est un logiciel libre distribue sous licence GNU/GPL. *
10 * Pour plus de details voir le fichier COPYING.txt ou l'aide en ligne. *
11 \***************************************************************************/
12
13 if (!defined('_ECRIRE_INC_VERSION')) return;
14
15 /*
16 * Gestion de l'authentification par sessions
17 * a utiliser pour valider l'acces (bloquant)
18 * ou pour reconnaitre un utilisateur (non bloquant)
19 *
20 */
21
22 $GLOBALS['visiteur_session'] = ''; # globale decrivant l'auteur
23 $GLOBALS['rejoue_session'] = ''; # globale pour insertion de JS en fin de page
24
25 //
26 // 3 actions sur les sessions, selon le type de l'argument:
27 //
28 // - numerique: efface toutes les sessions de l'auteur (retour quelconque)
29 // - tableau: cree une session pour l'auteur decrit et retourne l'identifiant
30 // - autre: predicat de validite de la session indiquee par le cookie
31
32 // http://doc.spip.org/@inc_session_dist
33 function inc_session_dist($auteur=false)
34 {
35 if (is_numeric($auteur))
36 return supprimer_sessions($auteur);
37 else if (is_array($auteur))
38 return ajouter_session($auteur);
39 else
40 return verifier_session($auteur);
41 }
42
43 //
44 // Ajoute une session pour l'auteur decrit par un tableau issu d'un SELECT-SQL
45 //
46
47 // http://doc.spip.org/@ajouter_session
48 function ajouter_session($auteur) {
49 // Si le client a deja une session valide pour son id_auteur
50 // on conserve le meme fichier
51
52 // Attention un visiteur peut avoir une session et un id=0,
53 // => ne pas melanger les sessions des differents visiteurs
54 $id_auteur = intval($auteur['id_auteur']);
55 if (!isset($_COOKIE['spip_session'])
56 OR !preg_match(',^'.$id_auteur.'_,', $_COOKIE['spip_session']))
57 $_COOKIE['spip_session'] = $id_auteur.'_'.md5(uniqid(rand(),true));
58
59 $fichier_session = fichier_session('alea_ephemere');
60
61 // Si ce n'est pas un inscrit (les inscrits ont toujours des choses en session)
62 // on verifie qu'il y a vraiment des choses
63 if (!$id_auteur){
64 // On supprime les basiques pour voir le contenu effectif
65 $auteur_verif = $auteur;
66 if (isset($auteur_verif['id_auteur'])) unset($auteur_verif['id_auteur']);
67 if (isset($auteur_verif['hash_env'])) unset($auteur_verif['hash_env']);
68 if (isset($auteur_verif['ip_change'])) unset($auteur_verif['ip_change']);
69
70 // Les variables vraiment nulle ne sont pas à prendre en compte non plus
71 foreach($auteur_verif as $variable=>$valeur){
72 if ($valeur === null){
73 unset($auteur_verif[$variable]);
74 }
75 }
76
77 // Si c'est vide alors on supprime et on ne fait rien
78 if (!$auteur_verif){
79 if (@file_exists($fichier_session)) spip_unlink($fichier_session);
80 return false;
81 }
82 }
83
84 // Maintenant on sait qu'il faut memoriser.
85 // On s'assure d'avoir au moins ces valeurs
86 $auteur['id_auteur'] = $id_auteur;
87 if (!isset($auteur['hash_env'])) $auteur['hash_env'] = hash_env();
88 if (!isset($auteur['ip_change'])) $auteur['ip_change'] = false;
89
90 if (!ecrire_fichier_session($fichier_session, $auteur)) {
91 include_spip('inc/minipres');
92 echo minipres();
93 exit;
94 } else {
95 include_spip('inc/cookie');
96 $duree = _RENOUVELLE_ALEA *
97 (!isset($auteur['cookie'])
98 ? 2 : (is_numeric($auteur['cookie'])
99 ? $auteur['cookie'] : 20));
100 spip_setcookie(
101 'spip_session',
102 $_COOKIE['spip_session'],
103 time() + $duree
104 );
105 spip_log("ajoute session $fichier_session cookie $duree");
106
107 // purger au passage les vieux fichiers de session
108 supprimer_sessions(-1);
109
110 return $_COOKIE['spip_session'];
111 }
112 }
113
114 // Ajouter une donnee dans la session SPIP
115 // http://doc.spip.org/@session_set
116 function session_set($nom, $val=null) {
117 // On ajoute la valeur dans la globale
118 $GLOBALS['visiteur_session'][$nom] = $val;
119
120 ajouter_session($GLOBALS['visiteur_session']);
121 actualiser_sessions($GLOBALS['visiteur_session']);
122 }
123
124 // Lire une valeur dans la session SPIP
125 // http://doc.spip.org/@session_get
126 function session_get($nom) {
127 return isset($GLOBALS['visiteur_session'][$nom]) ? $GLOBALS['visiteur_session'][$nom] : null;
128 }
129
130 // Quand on modifie une fiche auteur on appelle cette fonction qui va
131 // mettre a jour les fichiers de session de l'auteur en question.
132 // (auteurs identifies seulement)
133 // http://doc.spip.org/@actualiser_sessions
134 function actualiser_sessions($auteur) {
135 if (!$id_auteur=intval($auteur['id_auteur']))
136 return;
137
138 // memoriser l'auteur courant (celui qui modifie la fiche)
139 $sauve = $GLOBALS['visiteur_session'];
140
141 // .. mettre a jour les sessions de l'auteur cible
142 foreach(preg_files(_DIR_SESSIONS, '/'.$id_auteur.'_.*\.php') as $session) {
143 $GLOBALS['visiteur_session'] = array();
144 include $session; # $GLOBALS['visiteur_session'] est alors l'auteur cible
145
146 $auteur = array_merge($GLOBALS['visiteur_session'], $auteur);
147 ecrire_fichier_session($session, $auteur);
148 }
149
150 // restaurer l'auteur courant
151 $GLOBALS['visiteur_session'] = $sauve;
152
153 // si c'est le meme, rafraichir les valeurs
154 if (isset($sauve['id_auteur']) and $auteur['id_auteur'] == $sauve['id_auteur'])
155 verifier_session();
156 }
157
158 // http://doc.spip.org/@ecrire_fichier_session
159 function ecrire_fichier_session($fichier, $auteur) {
160
161 // ne pas enregistrer ces elements de securite
162 // dans le fichier de session
163 unset($auteur['pass']);
164 unset($auteur['htpass']);
165 unset($auteur['low_sec']);
166 unset($auteur['alea_actuel']);
167 unset($auteur['alea_futur']);
168
169 // ne pas enregistrer les valeurs vraiment nulle dans le fichier
170 foreach($auteur as $variable=>$valeur){
171 if ($valeur === null){
172 unset($auteur[$variable]);
173 }
174 }
175
176 // enregistrer les autres donnees du visiteur
177 $texte = "<"."?php\n";
178 foreach ($auteur as $var => $val)
179 $texte .= '$GLOBALS[\'visiteur_session\'][\''.$var.'\'] = '
180 . var_export($val,true).";\n";
181 $texte .= "?".">\n";
182
183 return ecrire_fichier($fichier, $texte);
184 }
185
186 //
187 // Cette fonction efface toutes les sessions appartenant a un auteur.
188 // On en profite pour effacer toutes les sessions
189 // creees depuis plus de 4*_RENOUVELLE_ALEA.
190 // Tenir compte de l'ancien format ou les noms commencaient par "session_"
191 // et du meme coup des repertoires plats, et de l'ID 0 qui vaut les anonymes.
192
193 // http://doc.spip.org/@supprimer_sessions
194 function supprimer_sessions($id_auteur) {
195
196 $i = 0;
197 $t = (time() - (_RENOUVELLE_ALEA << 2));
198 $dir = opendir(_DIR_SESSIONS);
199 while(($e = readdir($dir)) !== false) {
200 if (!preg_match(",^\D*(\d+)_\w{32}\.php[3]?$,", $e, $r))
201 continue;
202 $f = _DIR_SESSIONS . $e;
203 if (file_exists($f) AND (($id_auteur AND ($r[1] == $id_auteur))
204 OR ($t > filemtime($f)))) {
205 spip_unlink($f);
206 $i++;
207 }
208 }
209 // pour un anonyme, se fonder sur le cookie pour trouver le fichier
210 if (!$id_auteur) {
211 verifier_session();
212 spip_unlink(fichier_session('alea_ephemere', true));
213 }
214 if ($i) spip_log("destruction des $i fichiers de session de $id_auteur et 0");
215 // forcer le recalcul de la session courante
216 spip_session(true);
217 }
218
219 //
220 // Verifie si le cookie spip_session indique une session valide.
221 // Si oui, la decrit dans le tableau $visiteur_session et retourne id_auteur
222 // La rejoue si IP change puis accepte le changement si $change=true
223 //
224
225 // http://doc.spip.org/@verifier_session
226 function verifier_session($change=false) {
227 // si pas de cookie, c'est fichu
228
229 if (!isset($_COOKIE['spip_session']))
230 return false;
231
232 // Tester avec alea courant
233 $fichier_session = fichier_session('alea_ephemere', true);
234
235 if ($fichier_session AND @file_exists($fichier_session)) {
236 include($fichier_session);
237 } else {
238 // Sinon, tester avec alea precedent
239 $fichier_session = fichier_session('alea_ephemere_ancien', true);
240 if (!$fichier_session OR !@file_exists($fichier_session)) return false;
241
242 // Renouveler la session avec l'alea courant
243 include($fichier_session);
244 spip_unlink($fichier_session);
245 ajouter_session($GLOBALS['visiteur_session']);
246 }
247
248 // Compatibilite ascendante : auteur_session est visiteur_session si
249 // c'est un auteur SPIP authentifie (tandis qu'un visiteur_session peut
250 // n'etre qu'identifie, sans aucune authentification).
251
252 if ($GLOBALS['visiteur_session']['id_auteur'])
253 $GLOBALS['auteur_session'] = &$GLOBALS['visiteur_session'];
254
255 // Si l'adresse IP change, inc/presentation mettra une balise image
256 // avec un URL de rappel demandant a changer le nom de la session.
257 // Seul celui qui a l'IP d'origine est rejoue
258 // ainsi un eventuel voleur de cookie ne pourrait pas deconnecter
259 // sa victime, mais se ferait deconnecter par elle.
260 if (hash_env() != $GLOBALS['visiteur_session']['hash_env']) {
261 if (!$GLOBALS['visiteur_session']['ip_change']) {
262 $GLOBALS['rejoue_session'] = rejouer_session();
263 $GLOBALS['visiteur_session']['ip_change'] = true;
264 ajouter_session($GLOBALS['visiteur_session']);
265 } else if ($change) {
266 spip_log("session non rejouee, vol de cookie ?");
267 }
268 } else if ($change) {
269 spip_log("rejoue session $fichier_session ".$_COOKIE['spip_session']);
270 spip_unlink($fichier_session);
271 $GLOBALS['visiteur_session']['ip_change'] = false;
272 unset($_COOKIE['spip_session']);
273 ajouter_session($GLOBALS['visiteur_session']);
274 }
275
276 return is_numeric($GLOBALS['visiteur_session']['id_auteur'])?$GLOBALS['visiteur_session']['id_auteur']:null;
277 }
278
279 // Code a inserer par inc/presentation pour rejouer la session
280 // Voir action/cookie qui sera appele.
281
282 // http://doc.spip.org/@rejouer_session
283 function rejouer_session()
284 {
285 include_spip('inc/filtres');
286 return http_img_pack('rien.gif', " ", "id='img_session' width='0' height='0'") .
287 http_script("\ndocument.img_session.src='" . generer_url_action('cookie','change_session=oui', true) . "'");
288 }
289
290 //
291 // Calcule le nom du fichier session
292 //
293 // http://doc.spip.org/@fichier_session
294 function fichier_session($alea, $tantpis=false) {
295
296 if (!isset($GLOBALS['meta'][$alea])) {
297 include_spip('base/abstract_sql');
298 $GLOBALS['meta'][$alea] = sql_getfetsel('valeur', 'spip_meta', "nom=" . sql_quote($alea), '','', '', '', '', 'continue');
299 }
300
301 if (!$GLOBALS['meta'][$alea] AND !$tantpis) {
302 include_spip('inc/minipres');
303 echo minipres();
304 } else {
305
306 $repertoire = _DIR_SESSIONS;
307 if(!@file_exists($repertoire)) {
308 if ($tantpis) return '';
309 $repertoire = preg_replace(','._DIR_TMP.',', '', $repertoire);
310 include_spip('inc/flock');
311 $repertoire = sous_repertoire(_DIR_TMP, $repertoire);
312 }
313 $c = $_COOKIE['spip_session'];
314 return $repertoire . intval($c) .'_' . md5($c.' '.$GLOBALS['meta'][$alea]). '.php';
315 }
316 }
317
318 //
319 // On verifie l'IP et le nom du navigateur
320 //
321
322 // http://doc.spip.org/@hash_env
323 function hash_env() {
324 static $res ='';
325 if ($res) return $res;
326 return $res = md5($GLOBALS['ip'] . $_SERVER['HTTP_USER_AGENT']);
327 }
328
329 ?>
Site oueb de Vélocampus Nantes