index.php

   1 <?php
   2
   3
   4 /**
   5  *
   6  * Friendica
   7  *
   8  */
   9
  10 /**
  11  *
  12  * bootstrap the application
  13  *
  14  */
  15
  16 use Friendica\App;
  17 use Friendica\Core\System;
  18 use Friendica\Core\Config;
  19 use Friendica\Core\Worker;
  20
  21 require_once 'boot.php';
  22 require_once 'object/BaseObject.php';
  23
  24 if (empty($a)) {
  25         $a = new App(__DIR__);
  26 }
  27 BaseObject::set_app($a);
  28
  29 // We assume that the index.php is called by a frontend process
  30 // The value is set to "true" by default in boot.php
  31 $a->backend = false;
  32
  33 /**
  34  *
  35  * Load the configuration file which contains our DB credentials.
  36  * Ignore errors. If the file doesn't exist or is empty, we are running in
  37  * installation mode.
  38  *
  39  */
  40
  41 $install = ((file_exists('.htconfig.php') && filesize('.htconfig.php')) ? false : true);
  42
  43 // Only load config if found, don't surpress errors
  44 if (!$install) {
  45         include ".htconfig.php";
  46 }
  47
  48 /**
  49  *
  50  * Try to open the database;
  51  *
  52  */
  53
  54 use Friendica\Core\Config;
  55
  56 require_once "include/dba.php";
  57
  58 if (!$install) {
  59         dba::connect($db_host, $db_user, $db_pass, $db_data, $install);
  60         unset($db_host, $db_user, $db_pass, $db_data);
  61
  62         /**
  63          * Load configs from db. Overwrite configs from .htconfig.php
  64          */
  65
  66         Config::load();
  67
  68         if ($a->max_processes_reached() || $a->maxload_reached()) {
  69                 header($_SERVER["SERVER_PROTOCOL"] . ' 503 Service Temporarily Unavailable');
  70                 header('Retry-After: 120');
  71                 header('Refresh: 120; url=' . System::baseUrl() . "/" . $a->query_string);
  72                 die("System is currently unavailable. Please try again later");
  73         }
  74
  75         if (Config::get('system', 'force_ssl') && ($a->get_scheme() == "http") &&
  76                 (intval(Config::get('system', 'ssl_policy')) == SSL_POLICY_FULL) &&
  77                 (substr(System::baseUrl(), 0, 8) == "https://")) {
  78                 header("HTTP/1.1 302 Moved Temporarily");
  79                 header("Location: " . System::baseUrl() . "/" . $a->query_string);
  80                 exit();
  81         }
  82
  83         require_once 'include/session.php';
  84         load_hooks();
  85         call_hooks('init_1');
  86
  87         $maintenance = Config::get('system', 'maintenance');
  88 }
  89
  90 $lang = get_browser_language();
  91
  92 load_translation_table($lang);
  93
  94 /**
  95  *
  96  * Important stuff we always need to do.
  97  *
  98  * The order of these may be important so use caution if you think they're all
  99  * intertwingled with no logical order and decide to sort it out. Some of the
 100  * dependencies have changed, but at least at one time in the recent past - the
 101  * order was critical to everything working properly
 102  *
 103  */
 104
 105 // Exclude the backend processes from the session management
 106 if (!$a->is_backend()) {
 107         $stamp1 = microtime(true);
 108         session_start();
 109         $a->save_timestamp($stamp1, "parser");
 110 } else {
 111         Worker::executeIfIdle();
 112 }
 113
 114 /**
 115  * Language was set earlier, but we can over-ride it in the session.
 116  * We have to do it here because the session was just now opened.
 117  */
 118 if (x($_SESSION,'authenticated') && !x($_SESSION,'language')) {
 119         // we didn't loaded user data yet, but we need user language
 120         $r = dba::select('user', array('language'), array('uid' => $_SESSION['uid']), array('limit' => 1));
 121         $_SESSION['language'] = $lang;
 122         if (dbm::is_result($r)) {
 123                 $_SESSION['language'] = $r['language'];
 124         }
 125 }
 126
 127 if ((x($_SESSION,'language')) && ($_SESSION['language'] !== $lang)) {
 128         $lang = $_SESSION['language'];
 129         load_translation_table($lang);
 130 }
 131
 132 if ((x($_GET,'zrl')) && (!$install && !$maintenance)) {
 133         // Only continue when the given profile link seems valid
 134         // Valid profile links contain a path with "/profile/" and no query parameters
 135         if ((parse_url($_GET['zrl'], PHP_URL_QUERY) == "") &&
 136                 strstr(parse_url($_GET['zrl'], PHP_URL_PATH), "/profile/")) {
 137                 $_SESSION['my_url'] = $_GET['zrl'];
 138                 $a->query_string = preg_replace('/[\?&]zrl=(.*?)([\?&]|$)/is','',$a->query_string);
 139                 zrl_init($a);
 140         } else {
 141                 // Someone came with an invalid parameter, maybe as a DDoS attempt
 142                 // We simply stop processing here
 143                 logger("Invalid ZRL parameter ".$_GET['zrl'], LOGGER_DEBUG);
 144                 header('HTTP/1.1 403 Forbidden');
 145                 echo "<h1>403 Forbidden</h1>";
 146                 killme();
 147         }
 148 }
 149
 150 /**
 151  *
 152  * For Mozilla auth manager - still needs sorting, and this might conflict with LRDD header.
 153  * Apache/PHP lumps the Link: headers into one - and other services might not be able to parse it
 154  * this way. There's a PHP flag to link the headers because by default this will over-write any other
 155  * link header.
 156  *
 157  * What we really need to do is output the raw headers ourselves so we can keep them separate.
 158  *
 159  */
 160
 161 // header('Link: <' . System::baseUrl() . '/amcd>; rel="acct-mgmt";');
 162
 163 if (x($_COOKIE["Friendica"]) || (x($_SESSION,'authenticated')) || (x($_POST,'auth-params')) || ($a->module === 'login')) {
 164         require("include/auth.php");
 165 }
 166
 167 if (! x($_SESSION,'authenticated')) {
 168         header('X-Account-Management-Status: none');
 169 }
 170
 171 /* set up page['htmlhead'] and page['end'] for the modules to use */
 172 $a->page['htmlhead'] = '';
 173 $a->page['end'] = '';
 174
 175
 176 if (! x($_SESSION,'sysmsg')) {
 177         $_SESSION['sysmsg'] = array();
 178 }
 179
 180 if (! x($_SESSION,'sysmsg_info')) {
 181         $_SESSION['sysmsg_info'] = array();
 182 }
 183
 184 // Array for informations about last received items
 185 if (! x($_SESSION,'last_updated')) {
 186         $_SESSION['last_updated'] = array();
 187 }
 188 /*
 189  * check_config() is responsible for running update scripts. These automatically
 190  * update the DB schema whenever we push a new one out. It also checks to see if
 191  * any plugins have been added or removed and reacts accordingly.
 192  */
 193
 194 // in install mode, any url loads install module
 195 // but we need "view" module for stylesheet
 196 if ($install && $a->module!="view") {
 197         $a->module = 'install';
 198 } elseif ($maintenance && $a->module!="view") {
 199         $a->module = 'maintenance';
 200 } else {
 201         check_url($a);
 202         check_db(false);
 203         check_plugins($a);
 204 }
 205
 206 nav_set_selected('nothing');
 207
 208 //Don't populate apps_menu if apps are private
 209 $privateapps = Config::get('config','private_addons');
 210 if ((local_user()) || (! $privateapps === "1")) {
 211         $arr = array('app_menu' => $a->apps);
 212
 213         call_hooks('app_menu', $arr);
 214
 215         $a->apps = $arr['app_menu'];
 216 }
 217
 218 /**
 219  *
 220  * We have already parsed the server path into $a->argc and $a->argv
 221  *
 222  * $a->argv[0] is our module name. We will load the file mod/{$a->argv[0]}.php
 223  * and use it for handling our URL request.
 224  * The module file contains a few functions that we call in various circumstances
 225  * and in the following order:
 226  *
 227  * "module"_init
 228  * "module"_post (only called if there are $_POST variables)
 229  * "module"_afterpost
 230  * "module"_content - the string return of this function contains our page body
 231  *
 232  * Modules which emit other serialisations besides HTML (XML,JSON, etc.) should do
 233  * so within the module init and/or post functions and then invoke killme() to terminate
 234  * further processing.
 235  */
 236
 237 if (strlen($a->module)) {
 238
 239         /**
 240          *
 241          * We will always have a module name.
 242          * First see if we have a plugin which is masquerading as a module.
 243          *
 244          */
 245
 246         // Compatibility with the Android Diaspora client
 247         if ($a->module == "stream") {
 248                 $a->module = "network";
 249         }
 250
 251         // Compatibility with the Firefox App
 252         if (($a->module == "users") && ($a->cmd == "users/sign_in")) {
 253                 $a->module = "login";
 254         }
 255
 256         $privateapps = Config::get('config','private_addons');
 257
 258         if (is_array($a->plugins) && in_array($a->module,$a->plugins) && file_exists("addon/{$a->module}/{$a->module}.php")) {
 259                 //Check if module is an app and if public access to apps is allowed or not
 260                 if ((!local_user()) && plugin_is_app($a->module) && $privateapps === "1") {
 261                         info( t("You must be logged in to use addons. "));
 262                 } else {
 263                         include_once("addon/{$a->module}/{$a->module}.php");
 264                         if (function_exists($a->module . '_module')) {
 265                                 $a->module_loaded = true;
 266                         }
 267                 }
 268         }
 269
 270         /**
 271          * If not, next look for a 'standard' program module in the 'mod' directory
 272          */
 273
 274         if ((! $a->module_loaded) && (file_exists("mod/{$a->module}.php"))) {
 275                 include_once("mod/{$a->module}.php");
 276                 $a->module_loaded = true;
 277         }
 278
 279         /**
 280          *
 281          * The URL provided does not resolve to a valid module.
 282          *
 283          * On Dreamhost sites, quite often things go wrong for no apparent reason and they send us to '/internal_error.html'.
 284          * We don't like doing this, but as it occasionally accounts for 10-20% or more of all site traffic -
 285          * we are going to trap this and redirect back to the requested page. As long as you don't have a critical error on your page
 286          * this will often succeed and eventually do the right thing.
 287          *
 288          * Otherwise we are going to emit a 404 not found.
 289          *
 290          */
 291
 292         if (! $a->module_loaded) {
 293
 294                 // Stupid browser tried to pre-fetch our Javascript img template. Don't log the event or return anything - just quietly exit.
 295                 if ((x($_SERVER,'QUERY_STRING')) && preg_match('/{[0-9]}/',$_SERVER['QUERY_STRING']) !== 0) {
 296                         killme();
 297                 }
 298
 299                 if ((x($_SERVER,'QUERY_STRING')) && ($_SERVER['QUERY_STRING'] === 'q=internal_error.html') && isset($dreamhost_error_hack)) {
 300                         logger('index.php: dreamhost_error_hack invoked. Original URI =' . $_SERVER['REQUEST_URI']);
 301                         goaway(System::baseUrl() . $_SERVER['REQUEST_URI']);
 302                 }
 303
 304                 logger('index.php: page not found: ' . $_SERVER['REQUEST_URI'] . ' ADDRESS: ' . $_SERVER['REMOTE_ADDR'] . ' QUERY: ' . $_SERVER['QUERY_STRING'], LOGGER_DEBUG);
 305                 header($_SERVER["SERVER_PROTOCOL"] . ' 404 ' . t('Not Found'));
 306                 $tpl = get_markup_template("404.tpl");
 307                 $a->page['content'] = replace_macros($tpl, array(
 308                         '$message' =>  t('Page not found.' )
 309                 ));
 310         }
 311 }
 312
 313 /**
 314  * load current theme info
 315  */
 316 $theme_info_file = "view/theme/".current_theme()."/theme.php";
 317 if (file_exists($theme_info_file)){
 318         require_once($theme_info_file);
 319 }
 320
 321
 322 /* initialise content region */
 323
 324 if (! x($a->page,'content')) {
 325         $a->page['content'] = '';
 326 }
 327
 328 if (!$install && !$maintenance) {
 329         call_hooks('page_content_top',$a->page['content']);
 330 }
 331
 332 /**
 333  * Call module functions
 334  */
 335
 336 if ($a->module_loaded) {
 337         $a->page['page_title'] = $a->module;
 338         $placeholder = '';
 339
 340         if (function_exists($a->module . '_init')) {
 341                 call_hooks($a->module . '_mod_init', $placeholder);
 342                 $func = $a->module . '_init';
 343                 $func($a);
 344         }
 345
 346         if (function_exists(str_replace('-','_',current_theme()) . '_init')) {
 347                 $func = str_replace('-','_',current_theme()) . '_init';
 348                 $func($a);
 349         }
 350
 351         if (($_SERVER['REQUEST_METHOD'] === 'POST') && (! $a->error)
 352                 && (function_exists($a->module . '_post'))
 353                 && (! x($_POST,'auth-params'))) {
 354                 call_hooks($a->module . '_mod_post', $_POST);
 355                 $func = $a->module . '_post';
 356                 $func($a);
 357         }
 358
 359         if ((! $a->error) && (function_exists($a->module . '_afterpost'))) {
 360                 call_hooks($a->module . '_mod_afterpost',$placeholder);
 361                 $func = $a->module . '_afterpost';
 362                 $func($a);
 363         }
 364
 365         if ((! $a->error) && (function_exists($a->module . '_content'))) {
 366                 $arr = array('content' => $a->page['content']);
 367                 call_hooks($a->module . '_mod_content', $arr);
 368                 $a->page['content'] = $arr['content'];
 369                 $func = $a->module . '_content';
 370                 $arr = array('content' => $func($a));
 371                 call_hooks($a->module . '_mod_aftercontent', $arr);
 372                 $a->page['content'] .= $arr['content'];
 373         }
 374
 375         if (function_exists(str_replace('-','_',current_theme()) . '_content_loaded')) {
 376                 $func = str_replace('-','_',current_theme()) . '_content_loaded';
 377                 $func($a);
 378         }
 379 }
 380
 381 /*
 382  * Create the page head after setting the language
 383  * and getting any auth credentials.
 384  *
 385  * Moved init_pagehead() and init_page_end() to after
 386  * all the module functions have executed so that all
 387  * theme choices made by the modules can take effect.
 388  */
 389
 390 $a->init_pagehead();
 391
 392 /*
 393  * Build the page ending -- this is stuff that goes right before
 394  * the closing </body> tag
 395  */
 396 $a->init_page_end();
 397
 398 // If you're just visiting, let javascript take you home
 399 if (x($_SESSION, 'visitor_home')) {
 400         $homebase = $_SESSION['visitor_home'];
 401 } elseif (local_user()) {
 402         $homebase = 'profile/' . $a->user['nickname'];
 403 }
 404
 405 if (isset($homebase)) {
 406         $a->page['content'] .= '<script>var homebase="' . $homebase . '" ; </script>';
 407 }
 408
 409 /*
 410  * now that we've been through the module content, see if the page reported
 411  * a permission problem and if so, a 403 response would seem to be in order.
 412  */
 413 if (stristr(implode("", $_SESSION['sysmsg']), t('Permission denied'))) {
 414         header($_SERVER["SERVER_PROTOCOL"] . ' 403 ' . t('Permission denied.'));
 415 }
 416
 417 /*
 418  * Report anything which needs to be communicated in the notification area (before the main body)
 419  */
 420 call_hooks('page_end', $a->page['content']);
 421
 422 /*
 423  * Add the navigation (menu) template
 424  */
 425 if ($a->module != 'install' && $a->module != 'maintenance') {
 426         nav($a);
 427 }
 428
 429 /*
 430  * Add a "toggle mobile" link if we're using a mobile device
 431  */
 432 if ($a->is_mobile || $a->is_tablet) {
 433         if (isset($_SESSION['show-mobile']) && !$_SESSION['show-mobile']) {
 434                 $link = 'toggle_mobile?address=' . curPageURL();
 435         } else {
 436                 $link = 'toggle_mobile?off=1&address=' . curPageURL();
 437         }
 438         $a->page['footer'] = replace_macros(get_markup_template("toggle_mobile_footer.tpl"), array(
 439                 '$toggle_link' => $link,
 440                 '$toggle_text' => t('toggle mobile')
 441         ));
 442 }
 443
 444 /**
 445  * Build the page - now that we have all the components
 446  */
 447
 448 if (!$a->theme['stylesheet']) {
 449         $stylesheet = current_theme_url();
 450 } else {
 451         $stylesheet = $a->theme['stylesheet'];
 452 }
 453
 454 $a->page['htmlhead'] = str_replace('{{$stylesheet}}',$stylesheet,$a->page['htmlhead']);
 455 //$a->page['htmlhead'] = replace_macros($a->page['htmlhead'], array('$stylesheet' => $stylesheet));
 456
 457 if (isset($_GET["mode"]) && (($_GET["mode"] == "raw") || ($_GET["mode"] == "minimal"))) {
 458         $doc = new DOMDocument();
 459
 460         $target = new DOMDocument();
 461         $target->loadXML("<root></root>");
 462
 463         $content = mb_convert_encoding($a->page["content"], 'HTML-ENTITIES', "UTF-8");
 464
 465         /// @TODO one day, kill those error-surpressing @ stuff, or PHP should ban it
 466         @$doc->loadHTML($content);
 467
 468         $xpath = new DomXPath($doc);
 469
 470         $list = $xpath->query("//*[contains(@id,'tread-wrapper-')]");  /* */
 471
 472         foreach ($list as $item) {
 473                 $item = $target->importNode($item, true);
 474
 475                 // And then append it to the target
 476                 $target->documentElement->appendChild($item);
 477         }
 478 }
 479
 480 if (isset($_GET["mode"]) && ($_GET["mode"] == "raw")) {
 481
 482         header("Content-type: text/html; charset=utf-8");
 483
 484         echo substr($target->saveHTML(), 6, -8);
 485
 486         killme();
 487 }
 488
 489 $page    = $a->page;
 490 $profile = $a->profile;
 491
 492 header("X-Friendica-Version: " . FRIENDICA_VERSION);
 493 header("Content-type: text/html; charset=utf-8");
 494
 495 if (Config::get('system', 'hsts') && (Config::get('system', 'ssl_policy') == SSL_POLICY_FULL)) {
 496         header("Strict-Transport-Security: max-age=31536000");
 497 }
 498
 499 // Some security stuff
 500 header('X-Content-Type-Options: nosniff');
 501 header('X-XSS-Protection: 1; mode=block');
 502 header('X-Permitted-Cross-Domain-Policies: none');
 503 header('X-Frame-Options: sameorigin');
 504
 505 // Things like embedded OSM maps don't work, when this is enabled
 506 // header("Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; connect-src 'self'; style-src 'self' 'unsafe-inline'; font-src 'self'; img-src 'self' https: data:; media-src 'self' https:; child-src 'self' https:; object-src 'none'");
 507
 508 /*
 509  * We use $_GET["mode"] for special page templates. So we will check if we have
 510  * to load another page template than the default one.
 511  * The page templates are located in /view/php/ or in the theme directory.
 512  */
 513 if (isset($_GET["mode"])) {
 514         $template = theme_include($_GET["mode"] . '.php');
 515 }
 516
 517 // If there is no page template use the default page template
 518 if (empty($template)) {
 519         $template = theme_include("default.php");
 520 }
 521
 522 /// @TODO Looks unsafe (remote-inclusion), is maybe not but theme_include() uses file_exists() but does not escape anything
 523 require_once $template;
 524
 525 killme();