webinterface.git

1) <?php
2) 

3) require_once('inc/db_connect.php');

4) require_once('inc/debug.php');

5) 

6) function config($key)
7) {
8)   global $config;

9) 
10)   if ($key == 'modules' && isset($_SESSION['restrict_modules']))
11)   {
12)     $modules = array();
13)     foreach ($config['modules'] as $mod)
14)     {
15)       if (in_array($mod, $_SESSION['restrict_modules']))
16)         $modules[] = $mod;
17)     }
18)     return $modules;
19)   }
20) 

21)   if (array_key_exists($key, $config))
22)     return $config[$key];
23)   
24)   /* read configuration from database */
25)   $options = db_query( "SELECT `key`, value FROM misc.config" );
26)   
27)   while( $object = mysql_fetch_assoc( $options ) ) {
28) 	  $config[$object['key']]=$object['value'];
29)   }

30)   // Sonst wird das Passwort des webadmin-Users mit ausgegeben
31)   $debug_config = $config;
32)   unset($debug_config['db_pass']);
33)   DEBUG($debug_config);

34)   if (array_key_exists($key, $config))
35)     return $config[$key];
36)   else

37)     logger(LOG_ERR, "inc/base", "config", "Request to read nonexistant config option »{$key}«.");

38)     return NULL;

39) }
40) 
41) 

42) function redirect($target)
43) {
44)   global $debugmode;
45)   if (! $debugmode)
46)     header("Location: {$target}");
47)   die();
48) }
49) 
50) 

51) function my_server_id()
52) {
53)   $uid = (int) $_SESSION['userinfo']['uid'];
54)   $result = db_query("SELECT server FROM system.useraccounts WHERE uid={$uid}");
55)   $r = mysql_fetch_assoc($result);
56)   DEBUG($r);
57)   return $r['server'];
58) }
59) 
60) 
61) function additional_servers()
62) {
63)   $uid = (int) $_SESSION['userinfo']['uid'];
64)   $result = db_query("SELECT server FROM system.user_server WHERE uid={$uid}");
65)   $servers = array();
66)   while ($s = mysql_fetch_assoc($result))
67)     $servers[] = $s['server'];
68)   DEBUG($servers);
69)   return $servers;
70) }
71) 
72) 
73) function server_names()
74) {
75)   $result = db_query("SELECT id, hostname FROM system.servers");
76)   $servers = array();
77)   while ($s = mysql_fetch_assoc($result))
78)     $servers[$s['id']] = $s['hostname'];
79)   DEBUG($servers);
80)   return $servers;
81) }
82) 
83) 

84) function db_query($query)
85) {
86)   DEBUG($query);
87)   $result = @mysql_query($query);
88)   if (mysql_error())
89)   {
90)     $error = mysql_error();

91)     logger(LOG_ERR, "inc/base", "dberror", "mysql error: {$error}");

92)     system_failure('Interner Datenbankfehler: »'.iconv('ISO-8859-1', 'UTF-8', $error).'«.');

93)   }

94)   $count = @mysql_num_rows($result);
95)   if (! $count)
96)     $count = 'no';
97)   DEBUG("=> {$count} rows");

98)   return $result; 
99) }
100) 
101) 

102) 
103) function maybe_null($value)
104) {

105)   if ($value == NULL)
106)     return 'NULL';
107) 

108)   if (strlen( (string) $value ) > 0)

109)     return "'".mysql_real_escape_string($value)."'";

110)   else
111)     return 'NULL';
112) }
113) 

114) #define('LOG_ERR', 3);
115) #define('LOG_WARNING', 4);
116) #define('LOG_INFO', 6);

117) 

118) function logger($severity, $scriptname, $scope, $message)

119) {

120)   if (config('logging') <= $severity)

121)     return;
122) 

123)   $user = 'NULL';

124)   if ($_SESSION['role'] & ROLE_SYSTEMUSER)

125)     $user = "'{$_SESSION['userinfo']['username']}'";

126)   elseif ($_SESSION['role'] & ROLE_CUSTOMER)

127)     $user = "'{$_SESSION['customerinfo']['customerno']}'";
128)   
129)   $remote = mysql_real_escape_string($_SERVER['REMOTE_ADDR']);
130) 
131)   $scriptname = mysql_real_escape_string($scriptname);
132)   $scope = mysql_real_escape_string($scope);
133)   $message = mysql_real_escape_string($message);
134) 

135)   db_query("INSERT INTO misc.scriptlog (remote, user,scriptname,scope,message) VALUES ('{$remote}', {$user}, '{$scriptname}', '{$scope}', '{$message}');");

136) }
137) 

138) function html_header($arg)
139) {
140)   global $html_header;
141)   $html_header .= $arg;
142) }

143) 

144) function title($arg)
145) {
146)   global $title;
147)   $title = $arg;
148) }
149) 
150) function headline($arg)
151) {
152)   global $headline;
153)   $headline = $arg;
154) }
155) 

156) function output($arg)
157) {
158)   global $output;
159)   $output .= $arg;
160) }
161) 
162) 
163) function random_string($nc, $a='abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789') {
164)     $l=strlen($a)-1; $r='';
165)     while($nc-->0) $r.=$a{mt_rand(0,$l)};
166)     return $r;
167)  }
168) 
169) 
170) function are_you_sure($query_string, $question)
171) {

172)   $query_string = encode_querystring($query_string);

173)   $token = random_string(20);

174)   $_SESSION['are_you_sure_token'] = $token;

175)   title('Sicherheitsabfrage');
176)   output("

177)     <form action=\"{$query_string}\" method=\"post\">

178)     <div class=\"confirmation\">
179)       <div class=\"question\">{$question}</div>
180)       <p class=\"buttons\">
181)         <input type=\"hidden\" name=\"random_token\" value=\"{$token}\" />
182)         <input type=\"submit\" name=\"really\" value=\"Ja\" />

183)            

184)         <input type=\"submit\" name=\"not_really\" value=\"Nein\" />
185)       </p>
186)     </div>");

187)   output("</form>\n");

188) }
189) 
190) 
191) function user_is_sure()
192) {
193)   if (isset($_POST['really']))
194)   {

195)     if ($_POST['random_token'] == $_SESSION['are_you_sure_token'])

196)       return true;
197)     else
198)       system_failure("Possible Cross-site-request-forgery detected!");
199)   }
200)   elseif (isset($_POST['not_really']))
201)     return false;
202)   else
203)     return NULL;
204) }
205) 
206) 
207) 

208) function generate_form_token($form_id)
209) {
210)   require_once("inc/debug.php");
211)   $sessid = session_id();
212)   if ($sessid == "") 
213)   {
214)     DEBUG("Uh? Session not running? Wtf?");

215)     system_failure("Internal error!");

216)   }
217)   if (! isset($_SESSION['session_token']))
218)     $_SESSION['session_token'] = random_string(10);

219)   return hash('sha256', $sessid.$form_id.$_SESSION['session_token']);

220) }
221) 
222) 

223) function check_form_token($form_id, $formtoken = NULL)

224) {

225)   if ($formtoken == NULL)
226)     $formtoken = $_POST['formtoken'];

227)   $sessid = session_id();
228)   if ($sessid == "") 
229)   {
230)     DEBUG("Uh? Session not running? Wtf?");

231)     system_failure("Internal error! (Session not running)");

232)   }
233) 

234)   $correct_formtoken = hash('sha256', $sessid.$form_id.$_SESSION['session_token']);

235) 
236)   if (! ($formtoken == $correct_formtoken))
237)     system_failure("Possible cross-site-request-forgery!");
238) }
239) 

240) 

241) function have_module($modname)
242) {

243)   return in_array($modname, config('modules'));

244) }
245) 
246) 

247) function encode_querystring($querystring)

248) {
249)   global $debugmode;
250)   if ($debugmode)

251)     $querystring = 'debug&'.$querystring;

252)   DEBUG($querystring);

253)   $query = explode('&', $querystring);
254)   $new_query = array();
255)   foreach ($query AS $item)
256)     if ($item != '')
257)     {

258)       $split = explode('=', $item, 2);
259)       if (count($split) == 1)
260)         $new_query[] = $split[0];

261)       else

262)         $new_query[] = $split[0].'='.urlencode($split[1]);

263)     }
264)   $querystring = implode('&', $new_query);
265)   if ($querystring)
266)     $querystring = '?'.$querystring;

267)   DEBUG($querystring);

268)   return $querystring;
269) }

270) 

271) 

272) function addnew($file, $label, $querystring = '')
273) {

274)   output('<p class="addnew">'.internal_link($file, $label, $querystring).'</p>');

275) }
276) 

277) 
278) function internal_link($file, $label, $querystring = '', $attribs = '')
279) {

280)   global $prefix;

281)   if (strpos($file, '/') === 0)

282)   {
283)     $file = $prefix.substr($file, 1);
284)   }

285)   $querystring = encode_querystring($querystring);
286)   return "<a href=\"{$file}{$querystring}\" {$attribs} >{$label}</a>";

287) }
288) 
289) 
290) function html_form($form_id, $scriptname, $querystring, $content)
291) {

292)   $querystring = encode_querystring($querystring);

293)   $ret = '';

294)   $ret .= '<form action="'.$scriptname.$querystring.'" method="post">'."\n";

295)   $ret .= '<p style="display: none;"><input type="hidden" name="formtoken" value="'.generate_form_token($form_id).'" /></p>'."\n";

296)   $ret .= $content;
297)   $ret .= '</form>';
298)   return $ret;  
299) }
300) 
301) 

302) function html_select($name, $options, $default='', $free='')

303) {
304)   require_once('inc/security.php');

305)   $ret = "<select name=\"{$name}\" id=\"{$name}\" size=\"1\" {$free} >\n";

306)   foreach ($options as $key => $value)
307)   {
308)     $selected = '';
309)     if ($default == $key)
310)       $selected = ' selected="selected" ';
311)     $key = filter_input_general($key);
312)     $value = filter_input_general($value);
313)     $ret .= "  <option value=\"{$key}\"{$selected}>{$value}</option>\n";
314)   }
315)   $ret .= '</select>';
316)   return $ret;
317) }
318) 

319) 
320)