webinterface.git

1) <?php
2) 

3) require_once('inc/db_connect.php');
4) 

5) 
6) function db_query($query)
7) {
8)   DEBUG($query);
9)   $result = @mysql_query($query);
10)   if (mysql_error())
11)   {
12)     $error = mysql_error();
13)     logger("inc/base.php", "dberror", "mysql error: {$error}");
14)     system_failure('Beim Datenbankzugriff ist ein Fehler aufgetreten. Sollte dies wiederholt vorkommen, senden Sie bitte die Fehlermeldung ('.$error.') an einen Administrator.');
15)   }
16)   return $result; 
17) }
18) 
19) 

20) 
21) function maybe_null($value)
22) {
23)   if (strlen( (string) $value ) > 0)

24)     return "'".mysql_real_escape_string($value)."'";

25)   else
26)     return 'NULL';
27) }
28) 
29) 
30) 

31) function logger($scriptname, $scope, $message)
32) {
33)   $user = 'NULL';

34)   if ($_SESSION['role'] & ROLE_SYSTEMUSER)

35)     $user = "'{$_SESSION['userinfo']['username']}'";

36)   elseif ($_SESSION['role'] & ROLE_CUSTOMER)

37)     $user = "'{$_SESSION['customerinfo']['customerno']}'";
38)   
39)   $remote = mysql_real_escape_string($_SERVER['REMOTE_ADDR']);
40) 
41)   $scriptname = mysql_real_escape_string($scriptname);
42)   $scope = mysql_real_escape_string($scope);
43)   $message = mysql_real_escape_string($message);
44) 

45)   db_query("INSERT INTO misc.scriptlog (remote, user,scriptname,scope,message) VALUES ('{$remote}', {$user}, '{$scriptname}', '{$scope}', '{$message}');");

46) }
47) 
48) 

49) function output($arg)
50) {
51)   global $output;
52)   $output .= $arg;
53) }
54) 
55) 
56) function random_string($nc, $a='abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789') {
57)     $l=strlen($a)-1; $r='';
58)     while($nc-->0) $r.=$a{mt_rand(0,$l)};
59)     return $r;
60)  }
61) 
62) 
63) function are_you_sure($query_string, $question)
64) {

65)   global $debugmode;
66)   if ($debugmode)
67)     $query_string = 'debug&'.$query_string;

68)   $token = random_string(20);

69)   $_SESSION['are_you_sure_token'] = $token;

70)   output("<h3>Sicherheitsabfrage</h3>
71)     <form action=\"?{$query_string}\" method=\"post\">
72)     <div class=\"confirmation\">
73)       <div class=\"question\">{$question}</div>
74)       <p class=\"buttons\">
75)         <input type=\"hidden\" name=\"random_token\" value=\"{$token}\" />
76)         <input type=\"submit\" name=\"really\" value=\"Ja\" />
77)         &nbsp; &nbsp;
78)         <input type=\"submit\" name=\"not_really\" value=\"Nein\" />
79)       </p>
80)     </div>");

81)   output("</form>\n");

82) }
83) 
84) 
85) function user_is_sure()
86) {
87)   if (isset($_POST['really']))
88)   {

89)     if ($_POST['random_token'] == $_SESSION['are_you_sure_token'])

90)       return true;
91)     else
92)       system_failure("Possible Cross-site-request-forgery detected!");
93)   }
94)   elseif (isset($_POST['not_really']))
95)     return false;
96)   else
97)     return NULL;
98) }
99) 
100) 
101) 

102) function generate_form_token($form_id)
103) {
104)   require_once("inc/debug.php");
105)   $sessid = session_id();
106)   if ($sessid == "") 
107)   {
108)     DEBUG("Uh? Session not running? Wtf?");

109)     system_failure("Internal error!");

110)   }
111)   if (! isset($_SESSION['session_token']))
112)     $_SESSION['session_token'] = random_string(10);

113)   return hash('sha256', $sessid.$form_id.$_SESSION['session_token']);

114) }
115) 
116) 

117) function check_form_token($form_id, $formtoken = NULL)

118) {

119)   if ($formtoken == NULL)
120)     $formtoken = $_POST['formtoken'];

121)   $sessid = session_id();
122)   if ($sessid == "") 
123)   {
124)     DEBUG("Uh? Session not running? Wtf?");

125)     system_failure("Internal error! (Session not running)");

126)   }
127) 

128)   $correct_formtoken = hash('sha256', $sessid.$form_id.$_SESSION['session_token']);

129) 
130)   if (! ($formtoken == $correct_formtoken))
131)     system_failure("Possible cross-site-request-forgery!");
132) }
133) 

134) 
135) 
136) function internal_link($file, $label, $querystring = '')
137) {
138)   $debugstr = '';
139)   global $debugmode;
140)   if ($debugmode)
141)     $debugstr = 'debug&';
142)   $querystring = str_replace('&', '&', $querystring);
143) 
144)   return "<a href=\"{$file}?{$debugstr}${querystring}\">{$label}</a>";
145) }
146) 
147) 
148) function html_form($form_id, $scriptname, $querystring, $content)
149) {
150)   $debugstr = '';
151)   global $debugmode;
152)   if ($debugmode)
153)     $debugstr = 'debug&amp;';
154)   $querystring = str_replace('&', '&amp;', $querystring);
155)   $ret = '';
156)   $ret .= '<form action="'.$scriptname.'?'.$debugstr.$querystring.'" method="post">'."\n";

157)   $ret .= '<p style="display: none;"><input type="hidden" name="formtoken" value="'.generate_form_token($form_id).'" /></p>'."\n";

158)   $ret .= $content;
159)   $ret .= '</form>';
160)   return $ret;  
161) }
162) 
163) 

164) function html_select($name, $options, $default)
165) {
166)   require_once('inc/security.php');
167)   $ret = "<select name=\"{$name}\" size=\"1\">\n";
168)   foreach ($options as $key => $value)
169)   {
170)     $selected = '';
171)     if ($default == $key)
172)       $selected = ' selected="selected" ';
173)     $key = filter_input_general($key);
174)     $value = filter_input_general($value);
175)     $ret .= "  <option value=\"{$key}\"{$selected}>{$value}</option>\n";
176)   }
177)   $ret .= '</select>';
178)   return $ret;
179) }
180) 

181) 
182)