webinterface.git

1) <?php
2) 

3) require_once('inc/db_connect.php');
4) 

5) 

6) function config($key)
7) {
8)   global $config;
9)   if (array_key_exists($key, $config))
10)     return $config[$key];
11)   else
12)     logger("inc/base", "config", "Request to read nonexistant config option »{$key}«.");

13)     return NULL;

14) }
15) 
16) 

17) function db_query($query)
18) {
19)   DEBUG($query);
20)   $result = @mysql_query($query);
21)   if (mysql_error())
22)   {
23)     $error = mysql_error();

24)     logger("inc/base", "dberror", "mysql error: {$error}");

25)     system_failure('Interner Datenbankfehler: »'.iconv('ISO-8859-1', 'UTF-8', $error).'«.');

26)   }

27)   $count = @mysql_num_rows($result);
28)   if (! $count)
29)     $count = 'no';
30)   DEBUG("=> {$count} rows");

31)   return $result; 
32) }
33) 
34) 

35) 
36) function maybe_null($value)
37) {

38)   if ($value == NULL)
39)     return 'NULL';
40) 

41)   if (strlen( (string) $value ) > 0)

42)     return "'".mysql_real_escape_string($value)."'";

43)   else
44)     return 'NULL';
45) }
46) 
47) 
48) 

49) function logger($scriptname, $scope, $message)
50) {

51)   if (config('logging') == false)

52)     return;
53) 

54)   $user = 'NULL';

55)   if ($_SESSION['role'] & ROLE_SYSTEMUSER)

56)     $user = "'{$_SESSION['userinfo']['username']}'";

57)   elseif ($_SESSION['role'] & ROLE_CUSTOMER)

58)     $user = "'{$_SESSION['customerinfo']['customerno']}'";
59)   
60)   $remote = mysql_real_escape_string($_SERVER['REMOTE_ADDR']);
61) 
62)   $scriptname = mysql_real_escape_string($scriptname);
63)   $scope = mysql_real_escape_string($scope);
64)   $message = mysql_real_escape_string($message);
65) 

66)   db_query("INSERT INTO misc.scriptlog (remote, user,scriptname,scope,message) VALUES ('{$remote}', {$user}, '{$scriptname}', '{$scope}', '{$message}');");

67) }
68) 

69) function html_header($arg)
70) {
71)   global $html_header;
72)   $html_header .= $arg;
73) }

74) 

75) function output($arg)
76) {
77)   global $output;
78)   $output .= $arg;
79) }
80) 
81) 
82) function random_string($nc, $a='abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789') {
83)     $l=strlen($a)-1; $r='';
84)     while($nc-->0) $r.=$a{mt_rand(0,$l)};
85)     return $r;
86)  }
87) 
88) 
89) function are_you_sure($query_string, $question)
90) {

91)   $query_string = encode_querystring($query_string);

92)   $token = random_string(20);

93)   $_SESSION['are_you_sure_token'] = $token;

94)   output("<h3>Sicherheitsabfrage</h3>

95)     <form action=\"{$query_string}\" method=\"post\">

96)     <div class=\"confirmation\">
97)       <div class=\"question\">{$question}</div>
98)       <p class=\"buttons\">
99)         <input type=\"hidden\" name=\"random_token\" value=\"{$token}\" />
100)         <input type=\"submit\" name=\"really\" value=\"Ja\" />

101)            

102)         <input type=\"submit\" name=\"not_really\" value=\"Nein\" />
103)       </p>
104)     </div>");

105)   output("</form>\n");

106) }
107) 
108) 
109) function user_is_sure()
110) {
111)   if (isset($_POST['really']))
112)   {

113)     if ($_POST['random_token'] == $_SESSION['are_you_sure_token'])

114)       return true;
115)     else
116)       system_failure("Possible Cross-site-request-forgery detected!");
117)   }
118)   elseif (isset($_POST['not_really']))
119)     return false;
120)   else
121)     return NULL;
122) }
123) 
124) 
125) 

126) function generate_form_token($form_id)
127) {
128)   require_once("inc/debug.php");
129)   $sessid = session_id();
130)   if ($sessid == "") 
131)   {
132)     DEBUG("Uh? Session not running? Wtf?");

133)     system_failure("Internal error!");

134)   }
135)   if (! isset($_SESSION['session_token']))
136)     $_SESSION['session_token'] = random_string(10);

137)   return hash('sha256', $sessid.$form_id.$_SESSION['session_token']);

138) }
139) 
140) 

141) function check_form_token($form_id, $formtoken = NULL)

142) {

143)   if ($formtoken == NULL)
144)     $formtoken = $_POST['formtoken'];

145)   $sessid = session_id();
146)   if ($sessid == "") 
147)   {
148)     DEBUG("Uh? Session not running? Wtf?");

149)     system_failure("Internal error! (Session not running)");

150)   }
151) 

152)   $correct_formtoken = hash('sha256', $sessid.$form_id.$_SESSION['session_token']);

153) 
154)   if (! ($formtoken == $correct_formtoken))
155)     system_failure("Possible cross-site-request-forgery!");
156) }
157) 

158) 

159) function have_module($modname)
160) {

161)   return in_array($modname, config('modules'));

162) }
163) 
164) 

165) function encode_querystring($querystring)

166) {
167)   global $debugmode;
168)   if ($debugmode)

169)     $querystring = 'debug&'.$querystring;

170)   DEBUG($querystring);

171)   $query = explode('&', $querystring);
172)   $new_query = array();
173)   foreach ($query AS $item)
174)     if ($item != '')
175)     {
176)       list($key, $val) = explode('=', $item, 2);

177)       if ($val == '')
178)         $new_query[] = $key;
179)       else
180)         $new_query[] = $key.'='.urlencode($val);

181)     }
182)   $querystring = implode('&', $new_query);
183)   if ($querystring)
184)     $querystring = '?'.$querystring;

185)   DEBUG($querystring);

186)   return $querystring;
187) }

188) 

189) 

190) function addnew($file, $label, $querystring = '')
191) {
192)   output('<p class="addnew">'.internal_link($file, $label).'</p>');
193) }
194) 

195) 
196) function internal_link($file, $label, $querystring = '', $attribs = '')
197) {

198)   global $prefix;

199)   if (strpos($file, '/') === 0)

200)   {
201)     $file = $prefix.substr($file, 1);
202)   }

203)   $querystring = encode_querystring($querystring);
204)   return "<a href=\"{$file}{$querystring}\" {$attribs} >{$label}</a>";

205) }
206) 
207) 
208) function html_form($form_id, $scriptname, $querystring, $content)
209) {

210)   $querystring = encode_querystring($querystring);

211)   $ret = '';

212)   $ret .= '<form action="'.$scriptname.$querystring.'" method="post">'."\n";

213)   $ret .= '<p style="display: none;"><input type="hidden" name="formtoken" value="'.generate_form_token($form_id).'" /></p>'."\n";

214)   $ret .= $content;
215)   $ret .= '</form>';
216)   return $ret;  
217) }
218) 
219) 

220) function html_select($name, $options, $default='', $free='')

221) {
222)   require_once('inc/security.php');

223)   $ret = "<select name=\"{$name}\" id=\"{$name}\" size=\"1\" {$free} >\n";

224)   foreach ($options as $key => $value)
225)   {
226)     $selected = '';
227)     if ($default == $key)
228)       $selected = ' selected="selected" ';
229)     $key = filter_input_general($key);
230)     $value = filter_input_general($value);
231)     $ret .= "  <option value=\"{$key}\"{$selected}>{$value}</option>\n";
232)   }
233)   $ret .= '</select>';
234)   return $ret;
235) }
236) 

237) 
238)