webinterface.git

1) <?php

2) /*
3) This file belongs to the Webinterface of schokokeks.org Hosting
4) 

5) Written by schokokeks.org Hosting, namely

6)   Bernd Wurst <bernd@schokokeks.org>
7)   Hanno Böck <hanno@schokokeks.org>
8) 

9) This code is published under a 0BSD license.

10) 
11) Nevertheless, in case you use a significant part of this code, we ask (but not require, see the license) that you keep the authors' names in place and return your changes to the public. We would be especially happy if you tell us what you're going to do with this code.
12) */

13) 

14) require_once('class/database.php');

15) require_once('inc/debug.php');

16) 

17) function config($key, $localonly = false)

18) {

19)     global $config;
20) 
21)     if ($key == "modules") {
22)         // Stelle sicher, dass das "index"-Modul immer aktiv ist!
23)         if (! in_array("index", $config['modules'])) {
24)             $config['modules'][] = "index";
25)         }
26)         // Stelle sicher, dass das "about"-Modul immer aktiv ist!
27)         if (! in_array("about", $config['modules'])) {
28)             $config['modules'][] = "about";
29)         }

30)     }
31) 

32)     if ($key == 'modules' && isset($_SESSION['restrict_modules'])) {

33)         $modules = [];

34)         foreach ($config['modules'] as $mod) {
35)             if (in_array($mod, $_SESSION['restrict_modules'])) {
36)                 $modules[] = $mod;
37)             }
38)         }
39)         return $modules;

40)     }
41) 

42)     if (array_key_exists($key, $config)) {
43)         return $config[$key];
44)     }

45) 

46)     if ($localonly) {
47)         return null;
48)     }

49) 

50)     /* read configuration from database */
51)     $result = db_query("SELECT `key`, value FROM misc.config");

52) 

53)     while ($object = $result->fetch()) {
54)         if (!array_key_exists($object['key'], $config)) {
55)             $config[$object['key']]=$object['value'];
56)         }
57)     }
58)     // Sonst wird das Passwort des webadmin-Users mit ausgegeben
59)     $debug_config = $config;
60)     unset($debug_config['db_pass']);
61)     DEBUG($debug_config);
62)     if (array_key_exists($key, $config)) {
63)         return $config[$key];
64)     } else {
65)         logger(LOG_ERR, "inc/base", "config", "Request to read nonexistant config option »{$key}«.");
66)     }
67)     return null;

68) }
69) 

70) function have_role($role)
71) {

72)     $have = $_SESSION['role'] & $role;
73)     if ($have) {
74)         DEBUG("Current user has role ".$role);
75)     } else {
76)         DEBUG("Current user does not have role ".$role);
77)     }
78)     return $have;
79) }
80) 

81) function get_server_by_id($id)
82) {
83)     $id = (int) $id;

84)     $result = db_query("SELECT hostname FROM system.servers WHERE id=?", [$id]);

85)     $ret = $result->fetch();
86)     return $ret['hostname'];

87) }
88) 

89) 

90) function redirect($target)
91) {

92)     global $debugmode;
93)     if ($target == '') {
94)         $target = $_SERVER['REQUEST_URI'];
95)     }
96)     if (! $debugmode) {
97)         header("Location: {$target}");
98)     } else {
99)         if (strpos($target, '?') === false) {
100)             print 'REDIRECT: '.internal_link($target, $target);
101)         } else {

102)             [$file, $qs] = explode('?', $target, 2);

103)             print 'REDIRECT: '.internal_link($file, $target, $qs);
104)         }
105)     }
106)     die();

107) }
108) 
109) 

110) function my_server_id()
111) {

112)     $uid = (int) $_SESSION['userinfo']['uid'];

113)     $result = db_query("SELECT server FROM system.useraccounts WHERE uid=?", [$uid]);

114)     $r = $result->fetch();
115)     DEBUG($r);
116)     return $r['server'];

117) }
118) 
119) 
120) function additional_servers()
121) {

122)     $uid = (int) $_SESSION['userinfo']['uid'];

123)     $result = db_query("SELECT server FROM system.user_server WHERE uid=?", [$uid]);
124)     $servers = [];

125)     while ($s = $result->fetch()) {
126)         $servers[] = $s['server'];
127)     }
128)     DEBUG($servers);
129)     return $servers;

130) }
131) 
132) 
133) function server_names()
134) {

135)     $result = db_query("SELECT id, hostname FROM system.servers");

136)     $servers = [];

137)     while ($s = $result->fetch()) {
138)         $servers[$s['id']] = $s['hostname'];
139)     }
140)     DEBUG($servers);
141)     return $servers;

142) }
143) 
144) 

145) function maybe_null($value)
146) {

147)     if (! $value) {
148)         return null;
149)     }

150) 

151)     if (strlen((string) $value) > 0) {
152)         return (string) $value;
153)     } else {
154)         return null;
155)     }

156) }
157) 

158) 

159) #define('LOG_ERR', 3);
160) #define('LOG_WARNING', 4);
161) #define('LOG_INFO', 6);

162) 

163) function logger($severity, $scriptname, $scope, $message)

164) {

165)     if (config('logging') < $severity) {
166)         DEBUG("NOT LOGGING $scriptname:$scope:$message");
167)         return;
168)     }
169) 
170)     DEBUG("LOGGING $scriptname:$scope:$message");
171)     $user = null;
172)     if (array_key_exists("role", $_SESSION)) {
173)         if ($_SESSION['role'] & ROLE_SYSTEMUSER) {
174)             $user = $_SESSION['userinfo']['username'];
175)         } elseif ($_SESSION['role'] & ROLE_CUSTOMER) {
176)             $user = $_SESSION['customerinfo']['customerno'];
177)         }
178)     }
179) 

180)     $args = [":user" => $user,

181)                 ":remote" => $_SERVER['REMOTE_ADDR'],
182)                 ":scriptname" => $scriptname,
183)                 ":scope" => $scope,

184)                 ":message" => $message, ];

185) 

186)     db_query("INSERT INTO misc.scriptlog (remote, user,scriptname,scope,message) VALUES (:remote, :user, :scriptname, :scope, :message)", $args);

187) }
188) 

189) function count_failed_logins()
190) {

191)     if (config('logging') < LOG_WARNING) {
192)         DEBUG("logging is disabled, no brute force check possible");
193)         return;
194)     }

195)     $result = db_query("SELECT count(*) AS num FROM misc.scriptlog WHERE user IS NULL AND scriptname='session/start' AND scope='login' AND message LIKE 'wrong user data%' AND remote=:remote AND `timestamp` > NOW() - INTERVAL 10 MINUTE", [":remote" => $_SERVER['REMOTE_ADDR']]);

196)     $data = $result->fetch();
197)     DEBUG('seen '.$data['num'].' failed logins from this address within 10 minutes');
198)     return $data['num'];
199) }
200) 

201) function html_header($arg)
202) {

203)     global $html_header;
204)     $html_header .= $arg;

205) }

206) 

207) function title($arg)
208) {

209)     global $title;
210)     $title = $arg;

211) }
212) 
213) function headline($arg)
214) {

215)     global $headline;
216)     $headline = $arg;

217) }
218) 

219) function output($arg)
220) {

221)     global $output;
222)     $output .= $arg;

223) }
224) 

225) function footnote($explaination)
226) {
227)     global $footnotes;
228)     if (!isset($footnotes) || !is_array($footnotes)) {

229)         $footnotes = [];

230)     }
231)     $fnid = array_search($explaination, $footnotes);

232)     DEBUG($footnotes);

233)     if ($fnid === false) {

234)         DEBUG("Footnote »{$explaination}« is not in footnotes!");

235)         $footnotes[] = $explaination;
236)     }
237)     $fnid = array_search($explaination, $footnotes);
238)     return str_repeat('*', ($fnid+1));
239) }

240) 

241) function random_string($len)

242) {

243)     $s = str_replace('+', '.', base64_encode(random_bytes(ceil($len*3/4))));
244)     return substr($s, 0, $len);

245) }

246) 
247) 
248) function are_you_sure($query_string, $question)
249) {

250)     $query_string = encode_querystring($query_string);
251)     $token = random_string(20);
252)     $_SESSION['are_you_sure_token'] = $token;
253)     title('Sicherheitsabfrage');
254)     output("

255)     <form action=\"{$query_string}\" method=\"post\">

256)     <div class=\"confirmation\">
257)       <div class=\"question\">{$question}</div>
258)       <p class=\"buttons\">
259)         <input type=\"hidden\" name=\"random_token\" value=\"{$token}\" />
260)         <input type=\"submit\" name=\"really\" value=\"Ja\" />

261)            

262)         <input type=\"submit\" name=\"not_really\" value=\"Nein\" />
263)       </p>
264)     </div>");

265)     output("</form>\n");

266) }
267) 
268) 
269) function user_is_sure()
270) {

271)     if (isset($_POST['really'])) {

272)         if (array_key_exists('random_token', $_POST) &&
273)             ($_POST['random_token'] == $_SESSION['are_you_sure_token'])) {

274)             return true;
275)         } else {
276)             system_failure("Possible Cross-site-request-forgery detected!");
277)         }
278)     } elseif (isset($_POST['not_really'])) {
279)         return false;
280)     } else {
281)         return null;
282)     }

283) }
284) 
285) 
286) 

287) function generate_form_token($form_id)
288) {

289)     require_once("inc/debug.php");
290)     $sessid = session_id();
291)     if ($sessid == "") {
292)         DEBUG("Uh? Session not running? Wtf?");
293)         system_failure("Internal error!");
294)     }
295)     if (! isset($_SESSION['session_token'])) {
296)         $_SESSION['session_token'] = random_string(10);
297)     }
298)     return hash('sha256', $sessid.$form_id.$_SESSION['session_token']);

299) }
300) 
301) 

302) function check_form_token($form_id, $formtoken = null)

303) {

304)     if ($formtoken == null && isset($_REQUEST['formtoken'])) {

305)         $formtoken = $_REQUEST['formtoken'];
306)     }
307)     $sessid = session_id();
308)     if ($sessid == "") {
309)         DEBUG("Uh? Session not running? Wtf?");
310)         system_failure("Internal error! (Session not running)");
311)     }
312) 

313)     if (! isset($_SESSION['session_token'])) {
314)         $_SESSION['session_token'] = random_string(10);
315)     }

316)     $correct_formtoken = hash('sha256', $sessid.$form_id.$_SESSION['session_token']);
317) 
318)     if (! ($formtoken == $correct_formtoken)) {
319)         system_failure("Possible cross-site-request-forgery!");
320)     }

321) }
322) 

323) 

324) function have_module($modname)
325) {

326)     return in_array($modname, config('modules'));

327) }
328) 
329) 

330) function use_module($modname)

331) {

332)     global $prefix, $needed_modules;
333)     if (! isset($needed_modules)) {

334)         $needed_modules = [];

335)     }
336)     if (in_array($modname, $needed_modules)) {
337)         return;
338)     }
339)     $needed_modules[] = $modname;

340)     if (! have_module($modname)) {
341)         system_failure("Soll nicht verfügbares Modul laden!");
342)     }
343)     /* setup module include path */

344)     ini_set('include_path', ini_get('include_path').':./modules/'.$modname.'/include:');

345)     $style = 'modules/'.$modname.'/style.css';
346)     if (file_exists($style)) {
347)         html_header('<link rel="stylesheet" href="'.$prefix.$style.'" type="text/css" />'."\n");
348)     }
349) }
350) 
351) 

352) function encode_querystring($querystring)

353) {

354)     global $debugmode;
355)     if ($debugmode) {
356)         $querystring = 'debug&'.$querystring;
357)     }
358)     $query = explode('&', $querystring);

359)     $new_query = [];

360)     foreach ($query as $item) {
361)         if ($item != '') {
362)             $split = explode('=', $item, 2);
363)             if (count($split) == 1) {
364)                 $new_query[] = $split[0];
365)             } else {
366)                 $new_query[] = $split[0].'='.urlencode($split[1]);
367)             }
368)         }
369)     }
370)     $querystring = implode('&', $new_query);
371)     if ($querystring) {
372)         $querystring = '?'.$querystring;
373)     }
374)     return $querystring;

375) }

376) 

377) 

378) function beta_notice()
379) {
380)     output('<div class="beta"><h4>Achtung: Testbetrieb</h4><p>Diese Funktion ist im Testbetrieb. Bei Fehlfunktionen, Unklarheiten oder Verbesserungsvorschlägen bitten wir um kurze Nachricht an <a href="mailto:root@schokokeks.org">root@schokokeks.org</a></p></div>');
381) }
382) 
383) 

384) function addnew($file, $label, $querystring = '', $attribs = '')

385) {

386)     output('<p class="addnew">'.internal_link($file, $label, $querystring, $attribs).'</p>');

387) }
388) 

389) 
390) function internal_link($file, $label, $querystring = '', $attribs = '')
391) {

392)     global $prefix;
393)     if (strpos($file, '/') === 0) {
394)         $file = $prefix.substr($file, 1);
395)     }
396)     $querystring = encode_querystring($querystring);
397)     return "<a href=\"{$file}{$querystring}\" {$attribs} >{$label}</a>";

398) }
399) 
400) 
401) function html_form($form_id, $scriptname, $querystring, $content)
402) {

403)     $querystring = encode_querystring($querystring);
404)     $ret = '';
405)     $ret .= '<form id="'.$form_id.'" action="'.$scriptname.$querystring.'" method="post">'."\n";
406)     $ret .= '<p style="display: none;"><input type="hidden" name="formtoken" value="'.generate_form_token($form_id).'" /></p>'."\n";
407)     $ret .= $content;
408)     $ret .= '</form>';
409)     return $ret;

410) }
411) 
412) 

413) function html_select($name, $options, $default='', $free='')

414) {

415)     require_once('inc/security.php');
416)     $ret = "<select name=\"{$name}\" id=\"{$name}\" size=\"1\" {$free} >\n";
417)     foreach ($options as $key => $value) {
418)         $selected = '';
419)         if ($default == $key) {
420)             $selected = ' selected="selected" ';
421)         }

422)         $key = filter_output_html($key);
423)         $value = filter_output_html($value);

424)         $ret .= "  <option value=\"{$key}\"{$selected}>{$value}</option>\n";
425)     }
426)     $ret .= '</select>';
427)     return $ret;

428) }
429) 

430) 

431) function html_datepicker($htmlname, $timestamp)

432) {

433)     $date = date('Y-m-d', $timestamp);

434)     $ret = '';

435)     $ret .= '<input type="date" id="'.$htmlname.'" name="'.$htmlname.'" value="'.$date.'">';

436)     return $ret;

437) }
438) 

439) function get_modules_info()

440) {

441)     $modules = config('modules');

442)     $modconfig = [];

443)     foreach ($modules as $name) {
444)         $modconfig[$name] = null;
445)         if (file_exists('modules/'.$name.'/module.info')) {
446)             $modconfig[$name] = parse_ini_file('modules/'.$name.'/module.info');
447)         }
448)     }
449)     return $modconfig;

450) }

451) 

452) 
453) function send_mail($address, $subject, $body)
454) {
455)     if (strstr($subject, "\n") !== false) {
456)         die("Zeilenumbruch im subject!");
457)     }

458)     $header = "From: ".config('company_name')." Web Administration <".config('adminmail').">\r\nCc: ".config('adminmail')."\r\nContent-Type: text/plain; charset=\"utf-8\"\r\nContent-Transfer-Encoding: quoted-printable\r\nX-schokokeks-org-message: webinterface";

459)     $subject = mb_encode_mimeheader($subject, "utf-8", "Q");

460)     $body = quoted_printable_encode($body);

461)     mail($address, $subject, $body, $header);
462) }
463) 

464) function handle_exception($e)
465) {

466)     if (config('enable_debug')) {

467)         print_r($e->getMessage()."<br>");
468)         debug_print_backtrace();
469)         echo("<br>");
470)         print_r(serialize($_POST)."<br>");

471)         print_r(serialize($_SERVER));
472)     } else {
473)         $msg = "Exception caught:\n".$e->getMessage()."\n".serialize($_POST)."\n".serialize($_SERVER);
474)         mail(config("adminmail"), "Exception on configinterface", $msg);
475)     }