webinterface.git

1) <?php

2) /*
3) This file belongs to the Webinterface of schokokeks.org Hosting
4) 

5) Written 2008-2013 by schokokeks.org Hosting, namely

6)   Bernd Wurst <bernd@schokokeks.org>
7)   Hanno Böck <hanno@schokokeks.org>
8) 
9) To the extent possible under law, the author(s) have dedicated all copyright and related and neighboring rights to this software to the public domain worldwide. This software is distributed without any warranty.
10) 
11) You should have received a copy of the CC0 Public Domain Dedication along with this software. If not, see 
12) http://creativecommons.org/publicdomain/zero/1.0/
13) 
14) Nevertheless, in case you use a significant part of this code, we ask (but not require, see the license) that you keep the authors' names in place and return your changes to the public. We would be especially happy if you tell us what you're going to do with this code.
15) */

16) 

17) require_once('inc/debug.php');

18) 

19) function config($key)
20) {
21)   global $config;

22) 
23)   if ($key == 'modules' && isset($_SESSION['restrict_modules']))
24)   {
25)     $modules = array();
26)     foreach ($config['modules'] as $mod)
27)     {
28)       if (in_array($mod, $_SESSION['restrict_modules']))
29)         $modules[] = $mod;
30)     }
31)     return $modules;
32)   }
33) 

34)   if (array_key_exists($key, $config))
35)     return $config[$key];
36)   
37)   /* read configuration from database */

38)   $options = DB::query( "SELECT `key`, value FROM misc.config" );

39)   

40)   while( $object = $options->fetch_assoc() ) {

41) 	  $config[$object['key']]=$object['value'];
42)   }

43)   // Sonst wird das Passwort des webadmin-Users mit ausgegeben
44)   $debug_config = $config;
45)   unset($debug_config['db_pass']);
46)   DEBUG($debug_config);

47)   if (array_key_exists($key, $config))
48)     return $config[$key];
49)   else

50)     logger(LOG_ERR, "inc/base", "config", "Request to read nonexistant config option »{$key}«.");

51)     return NULL;

52) }
53) 

54) function get_server_by_id($id) {
55)   $id = (int) $id;

56)   $result = DB::query("SELECT hostname FROM system.servers WHERE id='{$id}'");
57)   $server = $result->fetch_assoc();
58)   return $server['hostname'];

59) }
60) 

61) 

62) function redirect($target)
63) {
64)   global $debugmode;
65)   if (! $debugmode)
66)     header("Location: {$target}");
67)   die();
68) }
69) 
70) 

71) function my_server_id()
72) {
73)   $uid = (int) $_SESSION['userinfo']['uid'];

74)   $result = DB::query("SELECT server FROM system.useraccounts WHERE uid={$uid}");
75)   $r = $result->fetch_assoc();

76)   DEBUG($r);
77)   return $r['server'];
78) }
79) 
80) 
81) function additional_servers()
82) {
83)   $uid = (int) $_SESSION['userinfo']['uid'];

84)   $result = DB::query("SELECT server FROM system.user_server WHERE uid={$uid}");

85)   $servers = array();

86)   while ($s = $result->fetch_assoc())

87)     $servers[] = $s['server'];
88)   DEBUG($servers);
89)   return $servers;
90) }
91) 
92) 
93) function server_names()
94) {

95)   $result = DB::query("SELECT id, hostname FROM system.servers");

96)   $servers = array();

97)   while ($s = $result->fetch_assoc())

98)     $servers[$s['id']] = $s['hostname'];
99)   DEBUG($servers);
100)   return $servers;
101) }
102) 
103) 

104) function maybe_null($value)
105) {

106)   if ($value == NULL)
107)     return 'NULL';
108) 

109)   if (strlen( (string) $value ) > 0)

110)     return "'".DB::escape($value)."'";

111)   else
112)     return 'NULL';
113) }
114) 

115) #define('LOG_ERR', 3);
116) #define('LOG_WARNING', 4);
117) #define('LOG_INFO', 6);

118) 

119) function logger($severity, $scriptname, $scope, $message)

120) {

121)   if (config('logging') <= $severity)

122)     return;
123) 

124)   $user = 'NULL';

125)   if ($_SESSION['role'] & ROLE_SYSTEMUSER)

126)     $user = "'{$_SESSION['userinfo']['username']}'";

127)   elseif ($_SESSION['role'] & ROLE_CUSTOMER)

128)     $user = "'{$_SESSION['customerinfo']['customerno']}'";
129)   

130)   $remote = DB::escape($_SERVER['REMOTE_ADDR']);

131) 

132)   $scriptname = DB::escape($scriptname);
133)   $scope = DB::escape($scope);
134)   $message = DB::escape($message);

135) 

136)   DB::query("INSERT INTO misc.scriptlog (remote, user,scriptname,scope,message) VALUES ('{$remote}', {$user}, '{$scriptname}', '{$scope}', '{$message}');");

137) }
138) 

139) function html_header($arg)
140) {
141)   global $html_header;
142)   $html_header .= $arg;
143) }

144) 

145) function title($arg)
146) {
147)   global $title;
148)   $title = $arg;
149) }
150) 
151) function headline($arg)
152) {
153)   global $headline;
154)   $headline = $arg;
155) }
156) 

157) function output($arg)
158) {
159)   global $output;
160)   $output .= $arg;
161) }
162) 
163) 
164) function random_string($nc, $a='abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789') {
165)     $l=strlen($a)-1; $r='';
166)     while($nc-->0) $r.=$a{mt_rand(0,$l)};
167)     return $r;
168)  }
169) 
170) 
171) function are_you_sure($query_string, $question)
172) {

173)   $query_string = encode_querystring($query_string);

174)   $token = random_string(20);

175)   $_SESSION['are_you_sure_token'] = $token;

176)   title('Sicherheitsabfrage');
177)   output("

178)     <form action=\"{$query_string}\" method=\"post\">

179)     <div class=\"confirmation\">
180)       <div class=\"question\">{$question}</div>
181)       <p class=\"buttons\">
182)         <input type=\"hidden\" name=\"random_token\" value=\"{$token}\" />
183)         <input type=\"submit\" name=\"really\" value=\"Ja\" />

184)            

185)         <input type=\"submit\" name=\"not_really\" value=\"Nein\" />
186)       </p>
187)     </div>");

188)   output("</form>\n");

189) }
190) 
191) 
192) function user_is_sure()
193) {
194)   if (isset($_POST['really']))
195)   {

196)     if ($_POST['random_token'] == $_SESSION['are_you_sure_token'])

197)       return true;
198)     else
199)       system_failure("Possible Cross-site-request-forgery detected!");
200)   }
201)   elseif (isset($_POST['not_really']))
202)     return false;
203)   else
204)     return NULL;
205) }
206) 
207) 
208) 

209) function generate_form_token($form_id)
210) {
211)   require_once("inc/debug.php");
212)   $sessid = session_id();
213)   if ($sessid == "") 
214)   {
215)     DEBUG("Uh? Session not running? Wtf?");

216)     system_failure("Internal error!");

217)   }
218)   if (! isset($_SESSION['session_token']))
219)     $_SESSION['session_token'] = random_string(10);

220)   return hash('sha256', $sessid.$form_id.$_SESSION['session_token']);

221) }
222) 
223) 

224) function check_form_token($form_id, $formtoken = NULL)

225) {

226)   if ($formtoken == NULL)

227)     $formtoken = $_REQUEST['formtoken'];

228)   $sessid = session_id();
229)   if ($sessid == "") 
230)   {
231)     DEBUG("Uh? Session not running? Wtf?");

232)     system_failure("Internal error! (Session not running)");

233)   }
234) 

235)   $correct_formtoken = hash('sha256', $sessid.$form_id.$_SESSION['session_token']);

236) 
237)   if (! ($formtoken == $correct_formtoken))
238)     system_failure("Possible cross-site-request-forgery!");
239) }
240) 

241) 

242) function have_module($modname)
243) {

244)   return in_array($modname, config('modules'));

245) }
246) 
247) 

248) function encode_querystring($querystring)

249) {
250)   global $debugmode;
251)   if ($debugmode)

252)     $querystring = 'debug&'.$querystring;

253)   DEBUG($querystring);

254)   $query = explode('&', $querystring);
255)   $new_query = array();
256)   foreach ($query AS $item)
257)     if ($item != '')
258)     {

259)       $split = explode('=', $item, 2);
260)       if (count($split) == 1)
261)         $new_query[] = $split[0];

262)       else

263)         $new_query[] = $split[0].'='.urlencode($split[1]);

264)     }
265)   $querystring = implode('&', $new_query);
266)   if ($querystring)
267)     $querystring = '?'.$querystring;

268)   DEBUG($querystring);

269)   return $querystring;
270) }

271) 

272) 

273) function addnew($file, $label, $querystring = '', $attribs = '')

274) {

275)   output('<p class="addnew">'.internal_link($file, $label, $querystring, $attribs).'</p>');

276) }
277) 

278) 
279) function internal_link($file, $label, $querystring = '', $attribs = '')
280) {

281)   global $prefix;

282)   if (strpos($file, '/') === 0)

283)   {
284)     $file = $prefix.substr($file, 1);
285)   }

286)   $querystring = encode_querystring($querystring);
287)   return "<a href=\"{$file}{$querystring}\" {$attribs} >{$label}</a>";

288) }
289) 
290) 
291) function html_form($form_id, $scriptname, $querystring, $content)
292) {

293)   $querystring = encode_querystring($querystring);

294)   $ret = '';

295)   $ret .= '<form action="'.$scriptname.$querystring.'" method="post">'."\n";

296)   $ret .= '<p style="display: none;"><input type="hidden" name="formtoken" value="'.generate_form_token($form_id).'" /></p>'."\n";

297)   $ret .= $content;
298)   $ret .= '</form>';
299)   return $ret;  
300) }
301) 
302) 

303) function html_select($name, $options, $default='', $free='')

304) {
305)   require_once('inc/security.php');

306)   $ret = "<select name=\"{$name}\" id=\"{$name}\" size=\"1\" {$free} >\n";

307)   foreach ($options as $key => $value)
308)   {
309)     $selected = '';
310)     if ($default == $key)
311)       $selected = ' selected="selected" ';
312)     $key = filter_input_general($key);
313)     $value = filter_input_general($value);
314)     $ret .= "  <option value=\"{$key}\"{$selected}>{$value}</option>\n";
315)   }
316)   $ret .= '</select>';
317)   return $ret;
318) }
319) 

320) 

321) function html_datepicker($nameprefix, $timestamp)
322) {
323)   $valid_days = array( 1 =>  1,  2 =>  2,  3 =>  3,  4 =>  4,  5 =>  5,
324)                        6 =>  6,  7 =>  7,  8 =>  8,  9 =>  9, 10 => 10,
325)                       11 => 11, 12 => 12, 13 => 13, 14 => 14, 15 => 15,
326)                       16 => 16, 17 => 17, 18 => 18, 19 => 19, 20 => 20,
327)                       21 => 21, 22 => 22, 23 => 23, 24 => 24, 25 => 25,
328)                       26 => 26, 27 => 27, 28 => 28, 29 => 29, 30 => 30,
329)                       31 => 31);
330)   $valid_months = array( 1 =>  1,  2 =>  2,  3 =>  3,  4 =>  4,  5 =>  5,
331)                          6 =>  6,  7 =>  7,  8 =>  8,  9 =>  9, 10 => 10,
332)                         11 => 11, 12 => 12);

333)   $current_year = (int) date('Y');
334)   $valid_years = array($current_year => $current_year, 
335)                        $current_year+1 => $current_year+1,
336)                        $current_year+2 => $current_year+2,
337)                        $current_year+3 => $current_year+3,
338)                        $current_year+4 => $current_year+4);
339)               

340)   $selected_day = date('d', $timestamp);
341)   $selected_month = date('m', $timestamp);
342)   $selected_year = date('Y', $timestamp);
343)   $ret = '';
344)   $ret .= html_select($nameprefix.'_day', $valid_days, $selected_day, 'style="text-align: right;"').". ";
345)   $ret .= html_select($nameprefix.'_month', $valid_months, $selected_month, 'style="text-align: right;"').". ";

346)   $ret .= html_select($nameprefix.'_year', $valid_years, $selected_year);

347)   return $ret;
348) }
349) 

350) function get_modules_info() 
351) {
352)   $modules = config('modules');
353)   $modconfig = array();
354)   foreach ($modules AS $name) {
355)     $modconfig[$name] = NULL;
356)     if (file_exists('modules/'.$name.'/module.info')) {
357)       $modconfig[$name] = parse_ini_file('modules/'.$name.'/module.info');
358)     }
359)   }
360)   return $modconfig;
361) }
362) 
363) 

364)