function action_logout_dist()
{
global $visiteur_session, $ignore_auth_http;
$logout = _request('logout');
$url = securiser_redirect_action(_request('url'));
// cas particulier, logout dans l'espace public
if ($logout == 'public' and !$url) {
$url = url_de_base();
}
// seul le loge peut se deloger (mais id_auteur peut valoir 0 apres une restauration avortee)
if (is_numeric($visiteur_session['id_auteur'])) {
include_spip('inc/auth');
auth_trace($visiteur_session, '0000-00-00 00:00:00');
// le logout explicite vaut destruction de toutes les sessions
if (isset($_COOKIE['spip_session'])) {
$session = charger_fonction('session', 'inc');
$session($visiteur_session['id_auteur']);
spip_setcookie('spip_session', $_COOKIE['spip_session'], time() - 3600);
}
// si authentification http, et que la personne est loge,
// pour se deconnecter, il faut proposer un nouveau formulaire de connexion http
if (isset($_SERVER['PHP_AUTH_USER']) and !$ignore_auth_http and $GLOBALS['auth_can_disconnect']) {
ask_php_auth(_T('login_deconnexion_ok'), _T('login_verifiez_navigateur'), _T('login_retour_public'), "redirect=" . _DIR_RESTREINT_ABS, _T('login_test_navigateur'), true);
}
}
// Rediriger en contrant le cache navigateur (Safari3)
include_spip('inc/headers');
redirige_par_entete($url ? parametre_url($url, 'var_hasard', uniqid(rand()), '&') : generer_url_public('login'));
}
/**
* Se deloger
* Pour eviter les CSRF on passe par une etape de confirmation si pas de jeton fourni
* avec un autosubmit js pour ne pas compliquer l'experience utilisateur
*
* Déconnecte l'utilisateur en cours et le redirige sur l'URL indiquée par
* l'argument de l'action sécurisée, et sinon sur la page d'accueil
* de l'espace public.
*
*/
function action_logout_dist()
{
$logout = _request('logout');
$url = securiser_redirect_action(_request('url'));
// cas particulier, logout dans l'espace public
if ($logout == 'public' and !$url) {
$url = url_de_base();
}
// seul le loge peut se deloger (mais id_auteur peut valoir 0 apres une restauration avortee)
if (isset($GLOBALS['visiteur_session']['id_auteur']) and is_numeric($GLOBALS['visiteur_session']['id_auteur']) and isset($GLOBALS['visiteur_session']['statut'])) {
// il faut un jeton pour fermer la session (eviter les CSRF)
if (!($jeton = _request('jeton')) or !verifier_jeton_logout($jeton, $GLOBALS['visiteur_session'])) {
$jeton = generer_jeton_logout($GLOBALS['visiteur_session']);
$action = generer_url_action("logout", "jeton={$jeton}");
$action = parametre_url($action, 'logout', _request('logout'));
$action = parametre_url($action, 'url', _request('url'));
include_spip("inc/minipres");
include_spip("inc/filtres");
$texte = bouton_action(_T('spip:icone_deconnecter'), $action);
$texte = "<div class='boutons'>{$texte}</div>";
$texte .= '<script type="text/javascript">document.write("<style>body{visibility:hidden;}</style>");window.document.forms[0].submit();</script>';
$res = minipres(_T('spip:icone_deconnecter'), $texte, '', true);
echo $res;
return;
}
include_spip('inc/auth');
auth_trace($GLOBALS['visiteur_session'], '0000-00-00 00:00:00');
// le logout explicite vaut destruction de toutes les sessions
if (isset($_COOKIE['spip_session'])) {
$session = charger_fonction('session', 'inc');
$session($GLOBALS['visiteur_session']['id_auteur']);
spip_setcookie('spip_session', $_COOKIE['spip_session'], time() - 3600);
}
// si authentification http, et que la personne est loge,
// pour se deconnecter, il faut proposer un nouveau formulaire de connexion http
if (isset($_SERVER['PHP_AUTH_USER']) and !$GLOBALS['ignore_auth_http'] and $GLOBALS['auth_can_disconnect']) {
ask_php_auth(_T('login_deconnexion_ok'), _T('login_verifiez_navigateur'), _T('login_retour_public'), "redirect=" . _DIR_RESTREINT_ABS, _T('login_test_navigateur'), true);
}
}
// Rediriger en contrant le cache navigateur (Safari3)
include_spip('inc/headers');
redirige_par_entete($url ? parametre_url($url, 'var_hasard', uniqid(rand()), '&') : generer_url_public('login'));
}
function action_cookie_dist($set_cookie_admin = null, $change_session = null)
{
$redirect_echec = $redirect = null;
$test_echec_cookie = null;
$url = "";
if (is_null($set_cookie_admin)) {
$set_cookie_admin = _request('cookie_admin');
$change_session = _request('change_session');
$test_echec_cookie = _request('test_echec_cookie');
// La cible de notre operation de connexion
$url = securiser_redirect_action(_request('url'));
$redirect = $url ? $url : generer_url_ecrire('accueil');
$redirect_echec = _request('url_echec');
if (!isset($redirect_echec)) {
if (strpos($redirect, _DIR_RESTREINT_ABS) !== false) {
$redirect_echec = generer_url_public('login', '', true);
} else {
$redirect_echec = $redirect;
}
}
}
// rejoue le cookie pour renouveler spip_session
if ($change_session == 'oui') {
$session = charger_fonction('session', 'inc');
$session(true);
spip_log("statut 204 pour " . $_SERVER['REQUEST_URI']);
http_status(204);
// No Content
return;
}
// tentative de connexion en auth_http
if (_request('essai_auth_http') and !$GLOBALS['ignore_auth_http']) {
include_spip('inc/auth');
if (@$_SERVER['PHP_AUTH_USER'] and @$_SERVER['PHP_AUTH_PW'] and $auteur = lire_php_auth($_SERVER['PHP_AUTH_USER'], $_SERVER['PHP_AUTH_PW'])) {
auth_loger($auteur);
redirige_par_entete(parametre_url($redirect, 't', time(), '&'));
} else {
ask_php_auth(_T('info_connexion_refusee'), _T('login_login_pass_incorrect'), _T('login_retour_site'), "url=" . rawurlencode($redirect), _T('login_nouvelle_tentative'), strpos($url, _DIR_RESTREINT_ABS) !== false);
}
} else {
// en cas de login sur bonjour=oui, on tente de poser un cookie
// puis de passer au login qui diagnostiquera l'echec de cookie
// le cas echeant.
if ($test_echec_cookie == 'oui') {
spip_setcookie('spip_session', 'test_echec_cookie');
if ($redirect) {
$redirect = parametre_url(parametre_url($redirect_echec, 'var_echec_cookie', 'oui', '&'), 'url', rawurlencode($redirect), '&');
}
} else {
$cook = isset($_COOKIE['spip_admin']) ? $_COOKIE['spip_admin'] : '';
// Suppression cookie d'admin ?
if ($set_cookie_admin == "non") {
if ($cook) {
spip_setcookie('spip_admin', $cook, time() - 3600 * 24);
}
} else {
if ($set_cookie_admin) {
spip_setcookie('spip_admin', $set_cookie_admin, time() + 14 * 24 * 3600);
}
}
}
}
// Redirection finale
if ($redirect) {
redirige_par_entete($redirect, true);
}
}
function forum_insert_base($c, $id_forum, $id_article, $id_breve, $id_syndic, $id_rubrique, $statut, $retour)
{
$afficher_texte = (_request('afficher_texte') <> 'non');
$ajouter_mot = _request('ajouter_mot');
// si le statut est vide, c'est qu'on ne veut pas de ce presume spam !
if (!$statut)
return false;
// Si forum avec previsu sans bon hash de securite, echec silencieux
if ($afficher_texte AND forum_insert_noprevisu()) {
return false;
}
if (array_reduce($_POST, 'reduce_strlen', (20 * 1024)) < 0) {
ask_php_auth(_T('forum_message_trop_long'),
_T('forum_cliquer_retour',
array('retour_forum' => $retour)));
}
// Entrer le message dans la base
$id_message = sql_insertq('spip_forum', array(
'date_heure'=> date('Y-m-d H:i:s'),
'ip' => $GLOBALS['ip'],
'id_auteur' => $GLOBALS['visiteur_session']['id_auteur']
));
if ($id_forum>0) {
$id_thread = sql_getfetsel("id_thread", "spip_forum", "id_forum = $id_forum");
}
else
$id_thread = $id_message; # id_thread oblige INSERT puis UPDATE.
// id_rubrique est parfois passee pour les articles, on n'en veut pas
if ($id_rubrique > 0 AND ($id_article OR $id_breve OR $id_syndic))
$id_rubrique = 0;
// Entrer les cles de jointures et assimilees
sql_updateq('spip_forum', array('id_parent' => $id_forum, 'id_rubrique' => $id_rubrique, 'id_article' => $id_article, 'id_breve' => $id_breve, 'id_syndic' => $id_syndic, 'id_thread' => $id_thread, 'statut' => $statut), "id_forum = $id_message");
// Entrer les mots-cles associes
if ($ajouter_mot) mots_du_forum($ajouter_mot, $id_message);
//
// Entree du contenu et invalidation des caches
//
include_spip('inc/modifier');
revision_forum($id_message, $c);
// Ajouter un document
if (isset($_FILES['ajouter_document'])
AND $_FILES['ajouter_document']['tmp_name']) {
$ajouter_documents = charger_fonction('ajouter_documents', 'inc');
$ajouter_documents(
$_FILES['ajouter_document']['tmp_name'],
$_FILES['ajouter_document']['name'], 'forum', $id_message,
'document', 0, $documents_actifs);
// supprimer le temporaire et ses meta donnees
spip_unlink($_FILES['ajouter_document']['tmp_name']);
spip_unlink(preg_replace(',\.bin$,',
'.txt', $_FILES['ajouter_document']['tmp_name']));
}
// Notification
if ($notifications = charger_fonction('notifications', 'inc'))
$notifications('forumposte', $id_message);
return $id_message;
}
