webinterface.git

1) <?php
2) 

3) require_once('inc/db_connect.php');

4) require_once('inc/debug.php');

5) 

6) function config($key)
7) {
8)   global $config;

9)   if (array_key_exists($key, $config))
10)     return $config[$key];
11)   
12)   /* read configuration from database */
13)   $options = db_query( "SELECT `key`, value FROM misc.config" );
14)   
15)   while( $object = mysql_fetch_assoc( $options ) ) {
16) 	  $config[$object['key']]=$object['value'];
17)   }
18)   DEBUG($config);

19)   if (array_key_exists($key, $config))
20)     return $config[$key];
21)   else

22)     logger(LOG_ERR, "inc/base", "config", "Request to read nonexistant config option »{$key}«.");

23)     return NULL;

24) }
25) 
26) 

27) function redirect($target)
28) {
29)   global $debugmode;
30)   if (! $debugmode)
31)     header("Location: {$target}");
32)   die();
33) }
34) 
35) 

36) function db_query($query)
37) {
38)   DEBUG($query);
39)   $result = @mysql_query($query);
40)   if (mysql_error())
41)   {
42)     $error = mysql_error();

43)     logger(LOG_ERR, "inc/base", "dberror", "mysql error: {$error}");

44)     system_failure('Interner Datenbankfehler: »'.iconv('ISO-8859-1', 'UTF-8', $error).'«.');

45)   }

46)   $count = @mysql_num_rows($result);
47)   if (! $count)
48)     $count = 'no';
49)   DEBUG("=> {$count} rows");

50)   return $result; 
51) }
52) 
53) 

54) 
55) function maybe_null($value)
56) {

57)   if ($value == NULL)
58)     return 'NULL';
59) 

60)   if (strlen( (string) $value ) > 0)

61)     return "'".mysql_real_escape_string($value)."'";

62)   else
63)     return 'NULL';
64) }
65) 

66) #define('LOG_ERR', 3);
67) #define('LOG_WARNING', 4);
68) #define('LOG_INFO', 6);

69) 

70) function logger($severity, $scriptname, $scope, $message)

71) {

72)   if (config('logging') <= $severity)

73)     return;
74) 

75)   $user = 'NULL';

76)   if ($_SESSION['role'] & ROLE_SYSTEMUSER)

77)     $user = "'{$_SESSION['userinfo']['username']}'";

78)   elseif ($_SESSION['role'] & ROLE_CUSTOMER)

79)     $user = "'{$_SESSION['customerinfo']['customerno']}'";
80)   
81)   $remote = mysql_real_escape_string($_SERVER['REMOTE_ADDR']);
82) 
83)   $scriptname = mysql_real_escape_string($scriptname);
84)   $scope = mysql_real_escape_string($scope);
85)   $message = mysql_real_escape_string($message);
86) 

87)   db_query("INSERT INTO misc.scriptlog (remote, user,scriptname,scope,message) VALUES ('{$remote}', {$user}, '{$scriptname}', '{$scope}', '{$message}');");

88) }
89) 

90) function html_header($arg)
91) {
92)   global $html_header;
93)   $html_header .= $arg;
94) }

95) 

96) function output($arg)
97) {
98)   global $output;
99)   $output .= $arg;
100) }
101) 
102) 
103) function random_string($nc, $a='abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789') {
104)     $l=strlen($a)-1; $r='';
105)     while($nc-->0) $r.=$a{mt_rand(0,$l)};
106)     return $r;
107)  }
108) 
109) 
110) function are_you_sure($query_string, $question)
111) {

112)   $query_string = encode_querystring($query_string);

113)   $token = random_string(20);

114)   $_SESSION['are_you_sure_token'] = $token;

115)   output("<h3>Sicherheitsabfrage</h3>

116)     <form action=\"{$query_string}\" method=\"post\">

117)     <div class=\"confirmation\">
118)       <div class=\"question\">{$question}</div>
119)       <p class=\"buttons\">
120)         <input type=\"hidden\" name=\"random_token\" value=\"{$token}\" />
121)         <input type=\"submit\" name=\"really\" value=\"Ja\" />

122)            

123)         <input type=\"submit\" name=\"not_really\" value=\"Nein\" />
124)       </p>
125)     </div>");

126)   output("</form>\n");

127) }
128) 
129) 
130) function user_is_sure()
131) {
132)   if (isset($_POST['really']))
133)   {

134)     if ($_POST['random_token'] == $_SESSION['are_you_sure_token'])

135)       return true;
136)     else
137)       system_failure("Possible Cross-site-request-forgery detected!");
138)   }
139)   elseif (isset($_POST['not_really']))
140)     return false;
141)   else
142)     return NULL;
143) }
144) 
145) 
146) 

147) function generate_form_token($form_id)
148) {
149)   require_once("inc/debug.php");
150)   $sessid = session_id();
151)   if ($sessid == "") 
152)   {
153)     DEBUG("Uh? Session not running? Wtf?");

154)     system_failure("Internal error!");

155)   }
156)   if (! isset($_SESSION['session_token']))
157)     $_SESSION['session_token'] = random_string(10);

158)   return hash('sha256', $sessid.$form_id.$_SESSION['session_token']);

159) }
160) 
161) 

162) function check_form_token($form_id, $formtoken = NULL)

163) {

164)   if ($formtoken == NULL)
165)     $formtoken = $_POST['formtoken'];

166)   $sessid = session_id();
167)   if ($sessid == "") 
168)   {
169)     DEBUG("Uh? Session not running? Wtf?");

170)     system_failure("Internal error! (Session not running)");

171)   }
172) 

173)   $correct_formtoken = hash('sha256', $sessid.$form_id.$_SESSION['session_token']);

174) 
175)   if (! ($formtoken == $correct_formtoken))
176)     system_failure("Possible cross-site-request-forgery!");
177) }
178) 

179) 

180) function have_module($modname)
181) {

182)   return in_array($modname, config('modules'));

183) }
184) 
185) 

186) function encode_querystring($querystring)

187) {
188)   global $debugmode;
189)   if ($debugmode)

190)     $querystring = 'debug&'.$querystring;

191)   DEBUG($querystring);

192)   $query = explode('&', $querystring);
193)   $new_query = array();
194)   foreach ($query AS $item)
195)     if ($item != '')
196)     {

197)       $split = explode('=', $item, 2);
198)       if (count($split) == 1)
199)         $new_query[] = $split[0];

200)       else

201)         $new_query[] = $split[0].'='.urlencode($split[1]);

202)     }
203)   $querystring = implode('&', $new_query);
204)   if ($querystring)
205)     $querystring = '?'.$querystring;

206)   DEBUG($querystring);

207)   return $querystring;
208) }

209) 

210) 

211) function addnew($file, $label, $querystring = '')
212) {

213)   output('<p class="addnew">'.internal_link($file, $label, $querystring).'</p>');

214) }
215) 

216) 
217) function internal_link($file, $label, $querystring = '', $attribs = '')
218) {

219)   global $prefix;

220)   if (strpos($file, '/') === 0)

221)   {
222)     $file = $prefix.substr($file, 1);
223)   }

224)   $querystring = encode_querystring($querystring);
225)   return "<a href=\"{$file}{$querystring}\" {$attribs} >{$label}</a>";

226) }
227) 
228) 
229) function html_form($form_id, $scriptname, $querystring, $content)
230) {

231)   $querystring = encode_querystring($querystring);

232)   $ret = '';

233)   $ret .= '<form action="'.$scriptname.$querystring.'" method="post">'."\n";

234)   $ret .= '<p style="display: none;"><input type="hidden" name="formtoken" value="'.generate_form_token($form_id).'" /></p>'."\n";

235)   $ret .= $content;
236)   $ret .= '</form>';
237)   return $ret;  
238) }
239) 
240) 

241) function html_select($name, $options, $default='', $free='')

242) {
243)   require_once('inc/security.php');

244)   $ret = "<select name=\"{$name}\" id=\"{$name}\" size=\"1\" {$free} >\n";

245)   foreach ($options as $key => $value)
246)   {
247)     $selected = '';
248)     if ($default == $key)
249)       $selected = ' selected="selected" ';
250)     $key = filter_input_general($key);
251)     $value = filter_input_general($value);
252)     $ret .= "  <option value=\"{$key}\"{$selected}>{$value}</option>\n";
253)   }
254)   $ret .= '</select>';
255)   return $ret;
256) }
257) 

258) 
259)