]> git.mxchange.org Git - friendica.git/blobdiff - include/security.php
merged 2 if() into one as requested by CR
[friendica.git] / include / security.php
index b52ddeb2dfa49f6124b78ffe234d898268b80b19..05371f71ca55d1a44559480ffc2c350197cc3add 100644 (file)
@@ -1,5 +1,44 @@
 <?php
 
+/**
+ * @brief Calculate the hash that is needed for the "Friendica" cookie
+ *
+ * @param array $user Record from "user" table
+ *
+ * @return string Hashed data
+ */
+function cookie_hash($user) {
+       return(hash("sha256", get_config("system", "site_prvkey").
+                               $user["uprvkey"].
+                               $user["password"]));
+}
+
+/**
+ * @brief Set the "Friendica" cookie
+ *
+ * @param int $time
+ * @param array $user Record from "user" table
+ */
+function new_cookie($time, $user = array()) {
+
+       if ($time != 0) {
+               $time = $time + time();
+       }
+
+       if ($user) {
+               $value = json_encode(array("uid" => $user["uid"],
+                                       "hash" => cookie_hash($user),
+                                       "ip" => $_SERVER['REMOTE_ADDR']));
+       }
+       else {
+               $value = "";
+       }
+
+       setcookie("Friendica", $value, $time, "/", "",
+               (get_config('system', 'ssl_policy') == SSL_POLICY_FULL), true);
+
+}
+
 function authenticate_success($user_record, $login_initial = false, $interactive = false, $login_refresh = false) {
 
        $a = get_app();
@@ -9,14 +48,14 @@ function authenticate_success($user_record, $login_initial = false, $interactive
        $_SESSION['mobile-theme'] = get_pconfig($user_record['uid'], 'system', 'mobile_theme');
        $_SESSION['authenticated'] = 1;
        $_SESSION['page_flags'] = $user_record['page-flags'];
-       $_SESSION['my_url'] = $a->get_baseurl() . '/profile/' . $user_record['nickname'];
-       $_SESSION['my_address'] = $user_record['nickname'] . '@' . substr($a->get_baseurl(),strpos($a->get_baseurl(),'://')+3);
+       $_SESSION['my_url'] = App::get_baseurl() . '/profile/' . $user_record['nickname'];
+       $_SESSION['my_address'] = $user_record['nickname'] . '@' . substr(App::get_baseurl(),strpos(App::get_baseurl(),'://')+3);
        $_SESSION['addr'] = $_SERVER['REMOTE_ADDR'];
 
        $a->user = $user_record;
 
        if($interactive) {
-               if($a->user['login_date'] === '0000-00-00 00:00:00') {
+               if ($a->user['login_date'] <= NULL_DATE) {
                        $_SESSION['return_url'] = 'profile_photo/new';
                        $a->module = 'profile_photo';
                        info( t("Welcome ") . $a->user['username'] . EOL);
@@ -42,7 +81,7 @@ function authenticate_success($user_record, $login_initial = false, $interactive
                $r = q("select * from user where uid = %d limit 1",
                        intval($_SESSION['submanage'])
                );
-               if(count($r))
+               if (dbm::is_result($r))
                        $master_record = $r[0];
        }
 
@@ -50,7 +89,7 @@ function authenticate_success($user_record, $login_initial = false, $interactive
                dbesc($master_record['password']),
                dbesc($master_record['email'])
        );
-       if($r && count($r))
+       if (dbm::is_result($r))
                $a->identities = $r;
        else
                $a->identities = array();
@@ -60,7 +99,7 @@ function authenticate_success($user_record, $login_initial = false, $interactive
                and `manage`.`uid` = %d",
                intval($master_record['uid'])
        );
-       if($r && count($r))
+       if (dbm::is_result($r))
                $a->identities = array_merge($a->identities,$r);
 
        if($login_initial)
@@ -70,7 +109,7 @@ function authenticate_success($user_record, $login_initial = false, $interactive
 
        $r = q("SELECT * FROM `contact` WHERE `uid` = %d AND `self` = 1 LIMIT 1",
                intval($_SESSION['uid']));
-       if(count($r)) {
+       if (dbm::is_result($r)) {
                $a->contact = $r[0];
                $a->cid = $r[0]['id'];
                $_SESSION['cid'] = $a->cid;
@@ -94,31 +133,48 @@ function authenticate_success($user_record, $login_initial = false, $interactive
 
 
        }
-       if($login_initial) {
+
+       if ($login_initial) {
+               // If the user specified to remember the authentication, then set a cookie
+               // that expires after one week (the default is when the browser is closed).
+               // The cookie will be renewed automatically.
+               // The week ensures that sessions will expire after some inactivity.
+               if ($_SESSION['remember']) {
+                       logger('Injecting cookie for remembered user '. $_SESSION['remember_user']['nickname']);
+                       new_cookie(604800, $user_record);
+                       unset($_SESSION['remember']);
+               }
+       }
+
+
+
+       if ($login_initial) {
                call_hooks('logged_in', $a->user);
 
-               if(($a->module !== 'home') && isset($_SESSION['return_url']))
-                       goaway($a->get_baseurl() . '/' . $_SESSION['return_url']);
+               if (($a->module !== 'home') && isset($_SESSION['return_url'])) {
+                       goaway(App::get_baseurl() . '/' . $_SESSION['return_url']);
+               }
        }
 
 }
 
 
 
-function can_write_wall(&$a,$owner) {
+function can_write_wall(App $a, $owner) {
 
        static $verified = 0;
 
-       if((! (local_user())) && (! (remote_user())))
+       if ((! (local_user())) && (! (remote_user()))) {
                return false;
+       }
 
        $uid = local_user();
 
-       if(($uid) && ($uid == $owner)) {
+       if (($uid) && ($uid == $owner)) {
                return true;
        }
 
-       if(remote_user()) {
+       if (remote_user()) {
 
                // use remembered decision and avoid a DB lookup for each and every display item
                // DO NOT use this function if there are going to be multiple owners
@@ -126,28 +182,28 @@ function can_write_wall(&$a,$owner) {
                // We have a contact-id for an authenticated remote user, this block determines if the contact
                // belongs to this page owner, and has the necessary permissions to post content
 
-               if($verified === 2)
+               if ($verified === 2) {
                        return true;
-               elseif($verified === 1)
+               } elseif ($verified === 1) {
                        return false;
-               else {
+               else {
                        $cid = 0;
 
-                       if(is_array($_SESSION['remote'])) {
-                               foreach($_SESSION['remote'] as $visitor) {
-                                       if($visitor['uid'] == $owner) {
+                       if (is_array($_SESSION['remote'])) {
+                               foreach ($_SESSION['remote'] as $visitor) {
+                                       if ($visitor['uid'] == $owner) {
                                                $cid = $visitor['cid'];
                                                break;
                                        }
                                }
                        }
 
-                       if(! $cid)
+                       if (! $cid) {
                                return false;
+                       }
 
-
-                       $r = q("SELECT `contact`.*, `user`.`page-flags` FROM `contact` INNER JOIN `user` on `user`.`uid` = `contact`.`uid` 
-                               WHERE `contact`.`uid` = %d AND `contact`.`id` = %d AND `contact`.`blocked` = 0 AND `contact`.`pending` = 0 
+                       $r = q("SELECT `contact`.*, `user`.`page-flags` FROM `contact` INNER JOIN `user` on `user`.`uid` = `contact`.`uid`
+                               WHERE `contact`.`uid` = %d AND `contact`.`id` = %d AND `contact`.`blocked` = 0 AND `contact`.`pending` = 0
                                AND `user`.`blockwall` = 0 AND `readonly` = 0  AND ( `contact`.`rel` IN ( %d , %d ) OR `user`.`page-flags` = %d ) LIMIT 1",
                                intval($owner),
                                intval($cid),
@@ -156,7 +212,7 @@ function can_write_wall(&$a,$owner) {
                                intval(PAGE_COMMUNITY)
                        );
 
-                       if(count($r)) {
+                       if (dbm::is_result($r)) {
                                $verified = 2;
                                return true;
                        }
@@ -181,10 +237,10 @@ function permissions_sql($owner_id,$remote_verified = false,$groups = null) {
         * default permissions - anonymous user
         */
 
-       $sql = " AND allow_cid = '' 
-                        AND allow_gid = '' 
-                        AND deny_cid  = '' 
-                        AND deny_gid  = '' 
+       $sql = " AND allow_cid = ''
+                        AND allow_gid = ''
+                        AND deny_cid  = ''
+                        AND deny_gid  = ''
        ";
 
        /**
@@ -192,11 +248,11 @@ function permissions_sql($owner_id,$remote_verified = false,$groups = null) {
         */
 
        if(($local_user) && ($local_user == $owner_id)) {
-               $sql = ''; 
+               $sql = '';
        }
 
        /**
-        * Authenticated visitor. Unless pre-verified, 
+        * Authenticated visitor. Unless pre-verified,
         * check that the contact belongs to this $owner_id
         * and load the groups the visitor belongs to.
         * If pre-verified, the caller is expected to have already
@@ -210,7 +266,7 @@ function permissions_sql($owner_id,$remote_verified = false,$groups = null) {
                                intval($remote_user),
                                intval($owner_id)
                        );
-                       if(count($r)) {
+                       if (dbm::is_result($r)) {
                                $remote_verified = true;
                                $groups = init_groups_visitor($remote_user);
                        }
@@ -222,11 +278,11 @@ function permissions_sql($owner_id,$remote_verified = false,$groups = null) {
                        if(is_array($groups) && count($groups)) {
                                foreach($groups as $g)
                                        $gs .= '|<' . intval($g) . '>';
-                       } 
+                       }
 
                        /*$sql = sprintf(
-                               " AND ( allow_cid = '' OR allow_cid REGEXP '<%d>' ) 
-                                 AND ( deny_cid  = '' OR  NOT deny_cid REGEXP '<%d>' ) 
+                               " AND ( allow_cid = '' OR allow_cid REGEXP '<%d>' )
+                                 AND ( deny_cid  = '' OR  NOT deny_cid REGEXP '<%d>' )
                                  AND ( allow_gid = '' OR allow_gid REGEXP '%s' )
                                  AND ( deny_gid  = '' OR NOT deny_gid REGEXP '%s')
                                ",
@@ -278,7 +334,7 @@ function item_permissions_sql($owner_id,$remote_verified = false,$groups = null)
        }
 
        /**
-        * Authenticated visitor. Unless pre-verified, 
+        * Authenticated visitor. Unless pre-verified,
         * check that the contact belongs to this $owner_id
         * and load the groups the visitor belongs to.
         * If pre-verified, the caller is expected to have already
@@ -292,7 +348,7 @@ function item_permissions_sql($owner_id,$remote_verified = false,$groups = null)
                                intval($remote_user),
                                intval($owner_id)
                        );
-                       if(count($r)) {
+                       if (dbm::is_result($r)) {
                                $remote_verified = true;
                                $groups = init_groups_visitor($remote_user);
                        }
@@ -304,13 +360,13 @@ function item_permissions_sql($owner_id,$remote_verified = false,$groups = null)
                        if(is_array($groups) && count($groups)) {
                                foreach($groups as $g)
                                        $gs .= '|<' . intval($g) . '>';
-                       } 
+                       }
 
                        $sql = sprintf(
-                               /*" AND ( private = 0 OR ( private in (1,2) AND wall = 1 AND ( allow_cid = '' OR allow_cid REGEXP '<%d>' ) 
-                                 AND ( deny_cid  = '' OR  NOT deny_cid REGEXP '<%d>' ) 
+                               /*" AND ( private = 0 OR ( private in (1,2) AND wall = 1 AND ( allow_cid = '' OR allow_cid REGEXP '<%d>' )
+                                 AND ( deny_cid  = '' OR  NOT deny_cid REGEXP '<%d>' )
                                  AND ( allow_gid = '' OR allow_gid REGEXP '%s' )
-                                 AND ( deny_gid  = '' OR NOT deny_gid REGEXP '%s'))) 
+                                 AND ( deny_gid  = '' OR NOT deny_gid REGEXP '%s')))
                                ",
                                intval($remote_user),
                                intval($remote_user),
@@ -343,29 +399,29 @@ function item_permissions_sql($owner_id,$remote_verified = false,$groups = null)
  *    If the new page contains by any chance external elements, then the used security token is exposed by the referrer.
  *    Actually, important actions should not be triggered by Links / GET-Requests at all, but somethimes they still are,
  *    so this mechanism brings in some damage control (the attacker would be able to forge a request to a form of this type, but not to forms of other types).
- */ 
+ */
 function get_form_security_token($typename = '') {
        $a = get_app();
-       
+
        $timestamp = time();
        $sec_hash = hash('whirlpool', $a->user['guid'] . $a->user['prvkey'] . session_id() . $timestamp . $typename);
-       
+
        return $timestamp . '.' . $sec_hash;
 }
 
 function check_form_security_token($typename = '', $formname = 'form_security_token') {
        if (!x($_REQUEST, $formname)) return false;
        $hash = $_REQUEST[$formname];
-       
+
        $max_livetime = 10800; // 3 hours
-       
+
        $a = get_app();
-       
+
        $x = explode('.', $hash);
        if (time() > (IntVal($x[0]) + $max_livetime)) return false;
-       
+
        $sec_hash = hash('whirlpool', $a->user['guid'] . $a->user['prvkey'] . session_id() . $x[0] . $typename);
-       
+
        return ($sec_hash == $x[1]);
 }
 
@@ -378,7 +434,7 @@ function check_form_security_token_redirectOnErr($err_redirect, $typename = '',
                logger('check_form_security_token failed: user ' . $a->user['guid'] . ' - form element ' . $typename);
                logger('check_form_security_token failed: _REQUEST data: ' . print_r($_REQUEST, true), LOGGER_DATA);
                notice( check_form_security_std_err_msg() );
-               goaway($a->get_baseurl() . $err_redirect );
+               goaway(App::get_baseurl() . $err_redirect );
        }
 }
 function check_form_security_token_ForbiddenOnErr($typename = '', $formname = 'form_security_token') {
@@ -393,17 +449,17 @@ function check_form_security_token_ForbiddenOnErr($typename = '', $formname = 'f
 
 // Returns an array of group id's this contact is a member of.
 // This array will only contain group id's related to the uid of this
-// DFRN contact. They are *not* neccessarily unique across the entire site. 
+// DFRN contact. They are *not* neccessarily unique across the entire site.
 
 
 if(! function_exists('init_groups_visitor')) {
 function init_groups_visitor($contact_id) {
        $groups = array();
-       $r = q("SELECT `gid` FROM `group_member` 
+       $r = q("SELECT `gid` FROM `group_member`
                WHERE `contact-id` = %d ",
                intval($contact_id)
        );
-       if(count($r)) {
+       if (dbm::is_result($r)) {
                foreach($r as $rr)
                        $groups[] = $rr['gid'];
        }