ff0f9b9b8aecdc1dfd011fdfbee2cf577b00e3a2
bernd webinterface => /webinterface

bernd authored 17 years ago

1) <?php
2) 
bernd Logging aktiviert

bernd authored 17 years ago

3) require_once('inc/base.php');
bernd webinterface => /webinterface

bernd authored 17 years ago

4) require_once('inc/debug.php');
5) require_once('inc/error.php');
6) 
7) require_once('inc/db_connect.php');
8) 
9) define('ROLE_ANONYMOUS', 0);
bernd Auch mailaccounts können si...

bernd authored 17 years ago

10) define('ROLE_MAILACCOUNT', 1);
bernd VMail-accounts können sich...

bernd authored 16 years ago

11) define('ROLE_VMAIL_ACCOUNT', 2);
12) define('ROLE_SYSTEMUSER', 4);
13) define('ROLE_CUSTOMER', 8);
14) define('ROLE_SYSADMIN', 16);
bernd Erlaube subusers, die nur Z...

bernd authored 14 years ago

15) define('ROLE_SUBUSER', 32);
bernd webinterface => /webinterface

bernd authored 17 years ago

16) 
17) 
18) // Gibt die Rolle aus, wenn das Passwort stimmt
19) 
bernd * Initialisierung der Sessi...

bernd authored 17 years ago

20) function find_role($login, $password, $i_am_admin = False)
bernd webinterface => /webinterface

bernd authored 17 years ago

21) {
22)   $login = mysql_real_escape_string($login);
23)   // Domain-Admin?  <not implemented>
24)   // System-User?
25)   $uid = (int) $login;
26)   if ($uid == 0)
27)     $uid = 'NULL';
bernd nicht mehr der user mit der...

bernd authored 17 years ago

28)   $result = db_query("SELECT passwort AS password, kundenaccount AS `primary`, ((SELECT acc.uid FROM system.v_useraccounts AS acc LEFT JOIN system.gruppenzugehoerigkeit USING (uid) LEFT JOIN system.gruppen AS g ON (g.gid=gruppenzugehoerigkeit.gid) WHERE g.name='admin' AND acc.uid=u.uid) IS NOT NULL) AS admin FROM system.v_useraccounts AS u LEFT JOIN system.passwoerter USING(uid) WHERE u.uid={$uid} OR username='{$login}' LIMIT 1;");
bernd webinterface => /webinterface

bernd authored 17 years ago

29)   if (@mysql_num_rows($result) > 0)
30)   {
bernd * Initialisierung der Sessi...

bernd authored 17 years ago

31)     $entry = mysql_fetch_object($result);
32)     $db_password = $entry->password;
bernd webinterface => /webinterface

bernd authored 17 years ago

33)     $hash = crypt($password, $db_password);
bernd * Initialisierung der Sessi...

bernd authored 17 years ago

34)     if ($hash == $db_password || $i_am_admin)
35)     {
36)       $role = ROLE_SYSTEMUSER;
37)       if ($entry->primary)
38)         $role = $role | ROLE_CUSTOMER;
39)       if ($entry->admin)
40)         $role = $role | ROLE_SYSADMIN;
bernd Logger mit Logleveln

bernd authored 15 years ago

41)       logger(LOG_INFO, "session/checkuser", "login", "logged in systemuser »{$login}«.");
bernd * Initialisierung der Sessi...

bernd authored 17 years ago

42)       return $role;
43)     }
bernd Logger mit Logleveln

bernd authored 15 years ago

44)     logger(LOG_WARNING, "session/checkuser", "login", "wrong password for existing useraccount »{$login}«.");
bernd Mehr logging

bernd authored 16 years ago

45)   } else {
bernd Logger mit Logleveln

bernd authored 15 years ago

46)     logger(LOG_WARNING, "session/checkuser", "login", "did not find useraccount »{$login}«. trying other roles...");
bernd webinterface => /webinterface

bernd authored 17 years ago

47)   }
48) 
49)   // Customer?
50)   $customerno = (int) $login;
51)   $pass = sha1($password);
bernd sql-abfragen abstrahiert

bernd authored 17 years ago

52)   $result = db_query("SELECT passwort AS password FROM kundendaten.kunden WHERE status=0 AND id={$customerno} AND passwort='{$pass}';");
bernd * Initialisierung der Sessi...

bernd authored 17 years ago

53)   if ($i_am_admin)
54)     $result = db_query("SELECT passwort AS password FROM kundendaten.kunden WHERE status=0 AND id={$customerno}");
bernd webinterface => /webinterface

bernd authored 17 years ago

55)   if (@mysql_num_rows($result) > 0)
56)   {
57)     return ROLE_CUSTOMER;
58)   }
59) 
bernd Auch mailaccounts können si...

bernd authored 17 years ago

60)   // Mail-Account
61)   $account = $login;
62)   if (! strstr($account, '@')) {
bernd Mehr config-optionen und co...

bernd authored 15 years ago

63)     $account .= '@'.config('masterdomain');
bernd Auch mailaccounts können si...

bernd authored 17 years ago

64)   }
65)   $result = db_query("SELECT cryptpass FROM mail.courier_mailaccounts WHERE account='{$account}' LIMIT 1;");
66)   if (@mysql_num_rows($result) > 0)
67)   {
68)     $entry = mysql_fetch_object($result);
69)     $db_password = $entry->cryptpass;
70)     $hash = crypt($password, $db_password);
71)     if ($hash == $db_password || $i_am_admin)
72)     {
bernd Logger mit Logleveln

bernd authored 15 years ago

73)       logger(LOG_INFO, "session/checkuser", "login", "logged in e-mail-account »{$account}«.");
bernd Auch mailaccounts können si...

bernd authored 17 years ago

74)       return ROLE_MAILACCOUNT;
75)     }
bernd Logger mit Logleveln

bernd authored 15 years ago

76)     logger(LOG_WARNING, "session/checkuser", "login", "wrong password for existing e-mail-account »{$account}«.");
bernd Auch mailaccounts können si...

bernd authored 17 years ago

77)   }
78)   
bernd VMail-accounts können sich...

bernd authored 16 years ago

79)   // virtueller Mail-Account
80)   $account = $login;
81)   $result = db_query("SELECT cryptpass FROM mail.courier_virtual_accounts WHERE account='{$account}' LIMIT 1;");
82)   if (@mysql_num_rows($result) > 0)
83)   {
84)     $entry = mysql_fetch_object($result);
85)     $db_password = $entry->cryptpass;
86)     $hash = crypt($password, $db_password);
87)     if ($hash == $db_password || $i_am_admin)
88)     {
bernd Logger mit Logleveln

bernd authored 15 years ago

89)       logger(LOG_INFO, "session/checkuser", "login", "logged in virtual e-mail-account »{$account}«.");
bernd VMail-accounts können sich...

bernd authored 16 years ago

90)       return ROLE_VMAIL_ACCOUNT;
91)     }
bernd Logger mit Logleveln

bernd authored 15 years ago

92)     logger(LOG_WARNING, "session/checkuser", "login", "wrong password for existing virtual e-mail-account »{$account}«.");
bernd VMail-accounts können sich...

bernd authored 16 years ago

93)   }
94)   
bernd Auch mailaccounts können si...

bernd authored 17 years ago

95) 
bernd Erlaube subusers, die nur Z...

bernd authored 14 years ago

96)   // Sub-User
97) 
98)   $result = db_query("SELECT uid FROM system.subusers WHERE username='{$login}' AND password=SHA1('{$password}')");
99)   if (@mysql_num_rows($result) > 0)
100)   {
101)     // FIXME: Admin-Su-Anmeldung geht damit nicht
102)     return ROLE_SUBUSER;
103)   }
104) 
bernd Auch mailaccounts können si...

bernd authored 17 years ago

105) 
bernd webinterface => /webinterface

bernd authored 17 years ago

106)   // Nothing?
107)   return NULL;
108) }
109) 
110) 
bernd * Initialisierung der Sessi...

bernd authored 17 years ago

111) function get_customer_info($customer)
bernd webinterface => /webinterface

bernd authored 17 years ago

112) {
bernd * Initialisierung der Sessi...

bernd authored 17 years ago

113)   if (! $_SESSION['role'] & ROLE_CUSTOMER)
114)     return array();
bernd webinterface => /webinterface

bernd authored 17 years ago

115)   $ret = array();
bernd * Initialisierung der Sessi...

bernd authored 17 years ago

116)   $customerno = (int) $customer;
117)   if ($customerno != 0)
118)   {
119)     DEBUG('Looking up customerinfo for customer no. '.$customerno);
bernd Warnung gefixed

bernd authored 14 years ago

120)     $result = db_query("SELECT id, anrede, firma, CONCAT_WS(' ', vorname, nachname) AS name, COALESCE(email,email_rechnung,email_extern) AS email FROM kundendaten.kunden WHERE id={$customerno} LIMIT 1;");
bernd * Initialisierung der Sessi...

bernd authored 17 years ago

121)   }
122)   else
123)   {
124)     $username = mysql_real_escape_string($customer);
125)     DEBUG('looking up customer info for username '.$username);
bernd Warnung gefixed

bernd authored 14 years ago

126)     $result = db_query("SELECT id, anrede, firma, CONCAT_WS(' ', vorname, nachname) AS name, COALESCE(email,email_rechnung,email_extern) AS email FROM kundendaten.kunden AS k JOIN system.v_useraccounts AS u ON (u.kunde=k.id) WHERE u.username='{$username}'");
bernd * Initialisierung der Sessi...

bernd authored 17 years ago

127)   }
bernd webinterface => /webinterface

bernd authored 17 years ago

128)   if (@mysql_num_rows($result) == 0)
129)     system_failure("Konnte Kundendaten nicht auslesen!");
bernd Warnung gefixed

bernd authored 14 years ago

130)   $data = mysql_fetch_assoc($result);
131)   DEBUG($data);
132)   $ret['customerno'] = $data['id'];
133)   $ret['title'] = $data['anrede'];
134)   $ret['company'] = $data['firma'];
135)   $ret['name'] = $data['name'];
136)   $ret['email'] = $data['email'];
bernd webinterface => /webinterface

bernd authored 17 years ago

137)   
138)   return $ret;
139) }
140) 
141) 
bernd Erlaube subusers, die nur Z...

bernd authored 14 years ago

142) function get_subuser_info($username)
143) {
144)   $result = db_query("SELECT uid, modules FROM system.subusers WHERE username='{$username}'");
145)   if (mysql_num_rows($result) < 1)
146)   {
147)     logger(LOG_ERR, "session/checkuser", "login", "error reading subuser's data: »{$username}«");
148)     system_failure('Das Auslesen Ihrer Benutzerdaten ist fehlgeschlagen. Bitte melden Sie dies einem Administrator');
149)   }
150)   $data = mysql_fetch_assoc($result);
151)   $userinfo = get_user_info($data['uid']);
152)   $userinfo['modules'] = $data['modules'];
153)   return $userinfo;
154) }
155) 
156) 
bernd webinterface => /webinterface

bernd authored 17 years ago

157) function get_user_info($username)
158) {
159)   $username = mysql_real_escape_string($username);
bernd sql-abfragen abstrahiert

bernd authored 17 years ago

160)   $result = db_query("SELECT kunde AS customerno, username, uid, homedir, name
161)                       FROM system.v_useraccounts WHERE username='{$username}' OR uid='{$username}' LIMIT 1");
bernd webinterface => /webinterface

bernd authored 17 years ago

162)   if (mysql_num_rows($result) < 1)
bernd Kunden-Status wird benutzt...

bernd authored 17 years ago

163)   {
bernd Logger mit Logleveln

bernd authored 15 years ago

164)     logger(LOG_ERR, "session/checkuser", "login", "error reading user's data: »{$username}«");
bernd webinterface => /webinterface

bernd authored 17 years ago

165)     system_failure('Das Auslesen Ihrer Benutzerdaten ist fehlgeschlagen. Bitte melden Sie dies einem Administrator');
bernd Kunden-Status wird benutzt...

bernd authored 17 years ago

166)   }
bernd webinterface => /webinterface

bernd authored 17 years ago

167)   $val = @mysql_fetch_object($result);
168)   return array(
169)           'username'      => $val->username,
170)           'customerno'    => $val->customerno,
171)           'uid'           => $val->uid,
172)           'homedir'       => $val->homedir,
173)           'name'          => $val->name,
174)           );
175) }
176) 
bernd Kunden-Status wird benutzt...

bernd authored 17 years ago

177) function set_customer_verified($customerno)
178) {
179)   $customerno = (int) $customerno;
180)   db_query("UPDATE kundendaten.kunden SET status=0 WHERE id={$customerno};");
bernd Logger mit Logleveln

bernd authored 15 years ago

181)   logger(LOG_INFO, "session/checkuser", "register", "set customer's status to 0.");
bernd Kunden-Status wird benutzt...

bernd authored 17 years ago

182) }
183) 
184) function set_customer_lastlogin($customerno)
185) {
186)   $customerno = (int) $customerno;
187)   db_query("UPDATE kundendaten.kunden SET lastlogin=NOW() WHERE id={$customerno};");
188) }
189) 
bernd webinterface => /webinterface

bernd authored 17 years ago

190) function set_customer_password($customerno, $newpass)
191) {
192)   $customerno = (int) $customerno;
193)   $newpass = sha1($newpass);
bernd sql-abfragen abstrahiert

bernd authored 17 years ago

194)   db_query("UPDATE kundendaten.kunden SET passwort='$newpass' WHERE id='".$customerno."' LIMIT 1");
bernd Logger mit Logleveln

bernd authored 15 years ago

195)   logger(LOG_INFO, "session/checkuser", "pwchange", "changed customer's password.");
bernd webinterface => /webinterface

bernd authored 17 years ago

196) }
197) 
198) function set_systemuser_password($uid, $newpass)
199) {
200)   $uid = (int) $uid;
201)   require_once('inc/base.php');
bernd Benutzer SHA512 wenn möglich

bernd authored 14 years ago

202)   if (defined("CRYPT_SHA512") && CRYPT_SHA512 == 1)
203)   {
204)     $rounds = rand(1000, 5000);
205)     $salt = "rounds=".$rounds."$".random_string(8);
206)     $newpass = crypt($newpass, "\$6\${$salt}\$");
207)   }
208)   else
209)   {
210)     $salt = random_string(8);
211)     $newpass = crypt($newpass, "\$1\${$salt}\$");
212)   }
bernd sql-abfragen abstrahiert

bernd authored 17 years ago

213)   db_query("UPDATE system.passwoerter SET passwort='$newpass' WHERE uid='".$uid."' LIMIT 1");
bernd Logger mit Logleveln

bernd authored 15 years ago

214)   logger(LOG_INFO, "session/checkuser", "pwchange", "changed user's password.");
bernd webinterface => /webinterface

bernd authored 17 years ago

215) }
216) 
bernd * Initialisierung der Sessi...

bernd authored 17 years ago

217) 
218) function setup_session($role, $useridentity)
219) {
220)   session_regenerate_id();
221)   $_SESSION['role'] = $role;
bernd Erlaube subusers, die nur Z...

bernd authored 14 years ago

222)   if ($role & ROLE_SUBUSER)
223)   {
224)     DEBUG("We are a sub-user");
225)     $info = get_subuser_info($useridentity);
226)     $_SESSION['userinfo'] = $info;
227)     $_SESSION['subuser'] = $useridentity;
228)     $_SESSION['role'] = ROLE_SYSTEMUSER | ROLE_SUBUSER;
229)     $_SESSION['restrict_modules'] = explode(',', $info['modules']);
230)     logger(LOG_INFO, "session/start", "login", "logged in user »{$info['username']}«");
231)   }
bernd * Initialisierung der Sessi...

bernd authored 17 years ago

232)   if ($role & ROLE_SYSTEMUSER)
233)   {
234)     DEBUG("We are system user");
235)     $info = get_user_info($useridentity);
236)     $_SESSION['userinfo'] = $info;
bernd Logger mit Logleveln

bernd authored 15 years ago

237)     logger(LOG_INFO, "session/start", "login", "logged in user »{$info['username']}«");
bernd * Initialisierung der Sessi...

bernd authored 17 years ago

238)     $useridentity = $info['customerno'];
239)   }
240)   if ($role & ROLE_CUSTOMER)
241)   {
242)     $info = get_customer_info($useridentity);
243)     $_SESSION['customerinfo'] = $info;
244)     set_customer_lastlogin($info['customerno']);
bernd Logger mit Logleveln

bernd authored 15 years ago

245)     logger(LOG_INFO, "session/start", "login", "logged in customer no »{$info['customerno']}«");
bernd * Initialisierung der Sessi...

bernd authored 17 years ago

246)   }
bernd Auch mailaccounts können si...

bernd authored 17 years ago

247)   if ($role & ROLE_MAILACCOUNT)
248)   {
249)     $id = $useridentity;
250)     if (! strstr($id, '@'))
bernd Mehr config-optionen und co...

bernd authored 15 years ago

251)       $id .= '@'.config('masterdomain');
bernd Auch mailaccounts können si...

bernd authored 17 years ago

252)     $_SESSION['mailaccount'] = $id;
253)     DEBUG("We are mailaccount: {$_SESSION['mailaccount']}");
254)   }
bernd VMail-accounts können sich...

bernd authored 16 years ago

255)   if ($role & ROLE_VMAIL_ACCOUNT)
256)   {
257)     $id = $useridentity;
258)     $_SESSION['mailaccount'] = $id;
259)     DEBUG("We are virtual mailaccount: {$_SESSION['mailaccount']}");
260)   }
bernd Auch mailaccounts können si...

bernd authored 17 years ago

261) 
bernd * Initialisierung der Sessi...

bernd authored 17 years ago

262) }
263)