3 /***************************************************************************\
4 * SPIP, Systeme de publication pour l'internet *
6 * Copyright (c) 2001-2019 *
7 * Arnaud Martin, Antoine Pitrou, Philippe Riviere, Emmanuel Saint-James *
9 * Ce programme est un logiciel libre distribue sous licence GNU/GPL. *
10 * Pour plus de details voir le fichier COPYING.txt ou l'aide en ligne. *
11 \***************************************************************************/
14 * Fichier d'exécution de l'interface privée
16 * @package SPIP\Core\Chargement
19 /** Drapeau indiquant que l'on est dans l'espace privé */
20 define('_ESPACE_PRIVE', true);
21 if (!defined('_ECRIRE_INC_VERSION')) {
22 include 'inc_version.php';
25 // Verification anti magic_quotes_sybase, pour qui addslashes("'") = "''"
26 // On prefere la faire ici plutot que dans inc_version, c'est moins souvent et
27 // si le reglage est modifie sur un site en prod, ca fait moins mal
28 if (addslashes("'") !== "\\'") {
29 die('SPIP incompatible magic_quotes_sybase');
32 include_spip('inc/cookie');
35 // Determiner l'action demandee
38 $exec = (string)_request('exec');
39 $reinstall = (!is_null(_request('reinstall'))) ?
_request('reinstall') : ($exec == 'install' ?
'oui' : null);
41 // Les scripts d'insallation n'authentifient pas, forcement,
42 // alors il faut blinder les variables d'URL
44 if (autoriser_sans_cookie($exec)) {
45 if (!isset($reinstall)) {
48 set_request('transformer_xml');
51 // Authentification, redefinissable
52 $auth = charger_fonction('auth', 'inc');
55 echo auth_echec($var_auth);
60 // initialiser a la langue par defaut
61 include_spip('inc/lang');
62 utiliser_langue_visiteur();
63 // forcer la langue de l'utilisateur pour les squelettes
67 if (_request('action') or _request('var_ajax') or _request('formulaire_action')) {
68 // Charger l'aiguilleur qui va mettre sur la bonne voie les traitements derogatoires
69 include_spip('public/aiguiller');
71 // cas des appels actions ?action=xxx
72 traiter_appels_actions()
74 // cas des hits ajax sur les inclusions ajax
75 traiter_appels_inclusions_ajax()
77 // cas des formulaires charger/verifier/traiter
78 traiter_formulaires_dynamiques()
81 } // le hit est fini !
83 // securiser les redirect du back-office
84 if (_request('redirect')) {
85 if (!function_exists('securiser_redirect_action')){
86 include_spip('public/aiguiller');
88 set_request('redirect',securiser_redirect_action(_request('redirect')));
93 // Gestion d'une page normale de l'espace prive
96 // Controle de la version, sauf si on est deja en train de s'en occuper
97 if (!$reinstall == 'oui'
99 and isset($GLOBALS['meta']['version_installee'])
100 and ($GLOBALS['spip_version_base'] != (str_replace(',', '.', $GLOBALS['meta']['version_installee'])))
102 $exec = 'demande_mise_a_jour';
105 // Quand une action d'administration est en cours (meta "admin"),
106 // refuser les connexions non-admin ou Ajax pour laisser la base intacte.
107 // Si c'est une admin, detourner le script demande vers cette action:
108 // si l'action est vraiment en cours, inc_admin refusera cette 2e demande,
109 // sinon c'est qu'elle a ete interrompue et il faut la reprendre
111 elseif (isset($GLOBALS['meta']["admin"])) {
112 if (preg_match('/^(.*)_(\d+)_/', $GLOBALS['meta']["admin"], $l)) {
113 list(, $var_f, $n) = $l;
117 isset($_COOKIE['spip_admin'])
118 or (isset($GLOBALS['visiteur_session']) and $GLOBALS['visiteur_session']['statut'] == '0minirezo')
121 spip_log("Quand la meta admin vaut " .
122 $GLOBALS['meta']["admin"] .
123 " seul un admin peut se connecter et sans AJAX." .
124 " En cas de probleme, detruire cette meta.");
125 die(_T('info_travaux_texte'));
128 list(, $var_f, $n) = $l;
129 if (tester_url_ecrire("base_$var_f")) {
130 $var_f = "base_$var_f";
132 if ($var_f != $exec) {
133 spip_log("Le script $var_f lance par auteur$n se substitue a l'exec $exec");
135 set_request('exec', $exec);
139 // si nom pas plausible, prendre le script par defaut
140 // attention aux deux cas 404/403 qui commencent par un 4 !
141 elseif (!preg_match(',^[a-z4_][0-9a-z_-]*$,i', $exec)) {
143 set_request('exec', $exec);
146 // compatibilite ascendante : obsolete, ne plus utiliser
147 $GLOBALS['spip_display'] = isset($GLOBALS['visiteur_session']['prefs']['display'])
148 ?
$GLOBALS['visiteur_session']['prefs']['display']
150 $GLOBALS['spip_ecran'] = isset($_COOKIE['spip_ecran']) ?
$_COOKIE['spip_ecran'] : "etroit";
152 // si la langue est specifiee par cookie et ne correspond pas
153 // (elle a ete changee dans une autre session, et on retombe sur un vieux cookie)
154 // on appelle directement la fonction, car un appel d'action peut conduire a une boucle infinie
155 // si le cookie n'est pas pose correctement dans l'action
156 if (!$var_auth and isset($_COOKIE['spip_lang_ecrire'])
157 and $_COOKIE['spip_lang_ecrire'] <> $GLOBALS['visiteur_session']['lang']
159 include_spip('action/converser');
160 action_converser_post($GLOBALS['visiteur_session']['lang'], true);
164 // Passer la main aux outils XML a la demande (meme les redac s'ils veulent).
165 // mais seulement si on a bien ete auhentifie
166 if ($var_f = _request('transformer_xml')) {
167 set_request('var_url', $exec);
170 if ($var_f = tester_url_ecrire($exec)) {
171 $var_f = charger_fonction($var_f);
174 // Rien de connu: rerouter vers exec=404 au lieu d'echouer
175 // ce qui permet de laisser la main a un plugin
176 $var_f = charger_fonction('404');