ede58decbfd985807c6b9379c028858c7918012a
bernd webinterface => /webinterface

bernd authored 17 years ago

1) <?php
2) 
bernd Logging aktiviert

bernd authored 16 years ago

3) require_once('inc/db_connect.php');
4) 
bernd sql-abfragen abstrahiert

bernd authored 16 years ago

5) 
6) function db_query($query)
7) {
8)   DEBUG($query);
9)   $result = @mysql_query($query);
10)   if (mysql_error())
11)   {
12)     $error = mysql_error();
bernd eliminate .php extensions f...

bernd authored 15 years ago

13)     logger("inc/base", "dberror", "mysql error: {$error}");
bernd MySQL-Fehler kommen als Lat...

bernd authored 16 years ago

14)     system_failure('Interner Datenbankfehler: »'.iconv('ISO-8859-1', 'UTF-8', $error).'«.');
bernd sql-abfragen abstrahiert

bernd authored 16 years ago

15)   }
16)   return $result; 
17) }
18) 
19) 
bernd Neues Modul für "Kunde werden"

bernd authored 16 years ago

20) 
21) function maybe_null($value)
22) {
23)   if (strlen( (string) $value ) > 0)
bernd Strings für mysql esapen (z...

bernd authored 16 years ago

24)     return "'".mysql_real_escape_string($value)."'";
bernd Neues Modul für "Kunde werden"

bernd authored 16 years ago

25)   else
26)     return 'NULL';
27) }
28) 
29) 
30) 
bernd Logging aktiviert

bernd authored 16 years ago

31) function logger($scriptname, $scope, $message)
32) {
bernd Logging konfigurierbar

bernd authored 16 years ago

33)   global $config;
34)   if ($config['logging'] == false)
35)     return;
36) 
bernd Logging aktiviert

bernd authored 16 years ago

37)   $user = 'NULL';
bernd Bugfix: Logger zeigt wieder...

bernd authored 16 years ago

38)   if ($_SESSION['role'] & ROLE_SYSTEMUSER)
bernd Logging aktiviert

bernd authored 16 years ago

39)     $user = "'{$_SESSION['userinfo']['username']}'";
bernd Bugfix: Logger zeigt wieder...

bernd authored 16 years ago

40)   elseif ($_SESSION['role'] & ROLE_CUSTOMER)
bernd Logging aktiviert

bernd authored 16 years ago

41)     $user = "'{$_SESSION['customerinfo']['customerno']}'";
42)   
43)   $remote = mysql_real_escape_string($_SERVER['REMOTE_ADDR']);
44) 
45)   $scriptname = mysql_real_escape_string($scriptname);
46)   $scope = mysql_real_escape_string($scope);
47)   $message = mysql_real_escape_string($message);
48) 
bernd sql-abfragen abstrahiert

bernd authored 16 years ago

49)   db_query("INSERT INTO misc.scriptlog (remote, user,scriptname,scope,message) VALUES ('{$remote}', {$user}, '{$scriptname}', '{$scope}', '{$message}');");
bernd Logging aktiviert

bernd authored 16 years ago

50) }
51) 
bernd Allow Header entries and AJAX

bernd authored 15 years ago

52) function html_header($arg)
53) {
54)   global $html_header;
55)   $html_header .= $arg;
56) }
bernd Logging aktiviert

bernd authored 16 years ago

57) 
bernd webinterface => /webinterface

bernd authored 17 years ago

58) function output($arg)
59) {
60)   global $output;
61)   $output .= $arg;
62) }
63) 
64) 
65) function random_string($nc, $a='abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789') {
66)     $l=strlen($a)-1; $r='';
67)     while($nc-->0) $r.=$a{mt_rand(0,$l)};
68)     return $r;
69)  }
70) 
71) 
72) function are_you_sure($query_string, $question)
73) {
bernd Neues Jabber-Modul (noch ni...

bernd authored 16 years ago

74)   global $debugmode;
75)   if ($debugmode)
76)     $query_string = 'debug&amp;'.$query_string;
bernd webinterface => /webinterface

bernd authored 17 years ago

77)   $token = random_string(20);
bernd XSRF-kram fixed

bernd authored 16 years ago

78)   $_SESSION['are_you_sure_token'] = $token;
bernd Umfangreiche Code-Aufräumar...

bernd authored 16 years ago

79)   output("<h3>Sicherheitsabfrage</h3>
80)     <form action=\"?{$query_string}\" method=\"post\">
81)     <div class=\"confirmation\">
82)       <div class=\"question\">{$question}</div>
83)       <p class=\"buttons\">
84)         <input type=\"hidden\" name=\"random_token\" value=\"{$token}\" />
85)         <input type=\"submit\" name=\"really\" value=\"Ja\" />
bernd Entities repariert

bernd authored 16 years ago

86)         &#160; &#160;
bernd Umfangreiche Code-Aufräumar...

bernd authored 16 years ago

87)         <input type=\"submit\" name=\"not_really\" value=\"Nein\" />
88)       </p>
89)     </div>");
bernd </form>

bernd authored 16 years ago

90)   output("</form>\n");
bernd webinterface => /webinterface

bernd authored 17 years ago

91) }
92) 
93) 
94) function user_is_sure()
95) {
96)   if (isset($_POST['really']))
97)   {
bernd XSRF-kram fixed

bernd authored 16 years ago

98)     if ($_POST['random_token'] == $_SESSION['are_you_sure_token'])
bernd webinterface => /webinterface

bernd authored 17 years ago

99)       return true;
100)     else
101)       system_failure("Possible Cross-site-request-forgery detected!");
102)   }
103)   elseif (isset($_POST['not_really']))
104)     return false;
105)   else
106)     return NULL;
107) }
108) 
109) 
110) 
bernd XSRF-kram fixed

bernd authored 16 years ago

111) function generate_form_token($form_id)
112) {
113)   require_once("inc/debug.php");
114)   $sessid = session_id();
115)   if ($sessid == "") 
116)   {
117)     DEBUG("Uh? Session not running? Wtf?");
bernd Neues Jabber-Modul (noch ni...

bernd authored 16 years ago

118)     system_failure("Internal error!");
bernd XSRF-kram fixed

bernd authored 16 years ago

119)   }
120)   if (! isset($_SESSION['session_token']))
121)     $_SESSION['session_token'] = random_string(10);
bernd Umfangreiche Code-Aufräumar...

bernd authored 16 years ago

122)   return hash('sha256', $sessid.$form_id.$_SESSION['session_token']);
bernd XSRF-kram fixed

bernd authored 16 years ago

123) }
124) 
125) 
bernd Umfangreiche Code-Aufräumar...

bernd authored 16 years ago

126) function check_form_token($form_id, $formtoken = NULL)
bernd XSRF-kram fixed

bernd authored 16 years ago

127) {
bernd Umfangreiche Code-Aufräumar...

bernd authored 16 years ago

128)   if ($formtoken == NULL)
129)     $formtoken = $_POST['formtoken'];
bernd XSRF-kram fixed

bernd authored 16 years ago

130)   $sessid = session_id();
131)   if ($sessid == "") 
132)   {
133)     DEBUG("Uh? Session not running? Wtf?");
bernd Umfangreiche Code-Aufräumar...

bernd authored 16 years ago

134)     system_failure("Internal error! (Session not running)");
bernd XSRF-kram fixed

bernd authored 16 years ago

135)   }
136) 
bernd Neues Jabber-Modul (noch ni...

bernd authored 16 years ago

137)   $correct_formtoken = hash('sha256', $sessid.$form_id.$_SESSION['session_token']);
bernd XSRF-kram fixed

bernd authored 16 years ago

138) 
139)   if (! ($formtoken == $correct_formtoken))
140)     system_failure("Possible cross-site-request-forgery!");
141) }
142) 
bernd Neues Jabber-Modul (noch ni...

bernd authored 16 years ago

143) 
144) 
145) function internal_link($file, $label, $querystring = '')
146) {
147)   $debugstr = '';
148)   global $debugmode;
149)   if ($debugmode)
150)     $debugstr = 'debug&amp;';
151)   $querystring = str_replace('&', '&amp;', $querystring);
152) 
153)   return "<a href=\"{$file}?{$debugstr}${querystring}\">{$label}</a>";
154) }
155) 
156) 
157) function html_form($form_id, $scriptname, $querystring, $content)
158) {
159)   $debugstr = '';
160)   global $debugmode;
161)   if ($debugmode)
162)     $debugstr = 'debug&amp;';
163)   $querystring = str_replace('&', '&amp;', $querystring);
bernd Fragezeichen bei html_form...

bernd authored 16 years ago

164)   $qmark = '?';
165)   if ($debugstr == '' && $querystring == '')
166)     $qmark = '';
bernd Neues Jabber-Modul (noch ni...

bernd authored 16 years ago

167)   $ret = '';
bernd Fragezeichen bei html_form...

bernd authored 16 years ago

168)   $ret .= '<form action="'.$scriptname.$qmark.$debugstr.$querystring.'" method="post">'."\n";
bernd Umfangreiche Code-Aufräumar...

bernd authored 16 years ago

169)   $ret .= '<p style="display: none;"><input type="hidden" name="formtoken" value="'.generate_form_token($form_id).'" /></p>'."\n";
bernd Neues Jabber-Modul (noch ni...

bernd authored 16 years ago

170)   $ret .= $content;
171)   $ret .= '</form>';
172)   return $ret;  
173) }
174) 
175) 
bernd Neues Modul für "Kunde werden"

bernd authored 16 years ago

176) function html_select($name, $options, $default)
177) {
178)   require_once('inc/security.php');
179)   $ret = "<select name=\"{$name}\" size=\"1\">\n";
180)   foreach ($options as $key => $value)
181)   {
182)     $selected = '';
183)     if ($default == $key)
184)       $selected = ' selected="selected" ';
185)     $key = filter_input_general($key);
186)     $value = filter_input_general($value);
187)     $ret .= "  <option value=\"{$key}\"{$selected}>{$value}</option>\n";
188)   }
189)   $ret .= '</select>';
190)   return $ret;
191) }
192) 
bernd Neues Jabber-Modul (noch ni...

bernd authored 16 years ago

193) 
194)