Ajout d'une vérification d'opérationnalité des .htaccess. (84f1d60c) · Validations · erational / issue_4450

ecrire/auth/spip.php

+5 −2

Numéro de ligne d'origine	Numéro de ligne de diff	Ligne de diff
		@@ -12,7 +12,8 @@

		if (!defined("_ECRIRE_INC_VERSION")) return;

		// Authentifie et retourne la ligne SQL decrivant l'utilisateur si ok
		// Authentifie et si ok retourne le tableau de la ligne SQL de l'utilisateur
		// Si risque de secu repere a l'installation retourne False
		function auth_spip_dist ($login, $pass, $serveur='') {

		// retrouver le login
		@@ -65,7 +66,9 @@ function auth_spip_dist ($login, $pass, $serveur='') {
		include_spip('inc/acces'); // pour creer_uniqid
		@sql_update('spip_auteurs', array('alea_actuel' => 'alea_futur', 'pass' => sql_quote($shanext), 'alea_futur' => sql_quote(creer_uniqid())), "id_auteur=" . $row['id_auteur'],'',$serveur);
		// En profiter pour verifier la securite de tmp/
		verifier_htaccess(_DIR_TMP);
		// Si elle ne fonctionne pas a l'installation, prevenir
		if (!verifier_htaccess(_DIR_TMP) AND defined('_ECRIRE_INSTALL'))
		return false;
		}
		return $row;
		}

ecrire/inc/acces.php

+32 −19

Numéro de ligne d'origine	Numéro de ligne de diff	Ligne de diff
		@@ -155,33 +155,46 @@ function generer_htpass($pass) {
		}

		//
		// Verifier la presence des .htaccess
		// Installe ou verifie un .htaccess, y compris sa prise en compte par Apache
		//
		// http://doc.spip.org/@verifier_htaccess
		function verifier_htaccess($rep) {
		$htaccess = rtrim($rep,"/") . "/" . _ACCESS_FILE_NAME;
		if ((!@file_exists($htaccess)) AND
		!defined('_ECRIRE_INSTALL') AND !defined('_TEST_DIRS')) {
		spip_log("demande de creation de $htaccess");
		if ($_SERVER['SERVER_ADMIN'] != 'www@nexenservices.com'){
		if (!$f = @fopen($htaccess, "w")) {
		spip_log("ECHEC DE LA CREATION DE $htaccess"); # ne pas traduire
		} else {
		fputs($f, "deny from all\n");
		fclose($f);
		}
		} else {
		if ((@file_exists($htaccess)) OR defined('_TEST_DIRS'))
		return true;
		if ($_SERVER['SERVER_ADMIN'] == 'www@nexenservices.com')
		return nexen($rep);
		spip_log("Creation de $htaccess");
		if ($ht = @fopen($htaccess, "w")) {
		fputs($ht, "deny from all\n");
		fclose($ht);
		$t = rtrim($rep,"/") . "/.ok";
		if ($ht = @fopen($t, "w")) {
		@fclose($ht);
		include_spip('inc/distant');
		$t = '/' . _DIR_RACINE . $t;
		if (preg_match(',^(./)[^/]+/../(.)$,',$t, $m))
		$t = $m[1] . $m[2];
		$f = $GLOBALS['meta']['adresse_site'] . $t;
		$ht = !recuperer_lapage($f, false, 'HEAD', 0);
		}
		}
		if (!$ht) spip_log("$htaccess inoperant sur $rep");
		return $ht;
		}

		function nexen($rep)
		{
		echo "<span style='color: #FF0000'>IMPORTANT : </span>";
		echo "Votre hébergeur est Nexen Services.<br />";
		echo "La protection du répertoire <i>$rep/</i> doit se faire
		par l'intermédiaire de ";
		echo "<a href=\"http://www.nexenservices.com/webmestres/index.php\"
		echo "<a href=\"http://www.nexenservices.com/Webmestres/index.php\"
		target=\"_blank\">l'espace webmestres</a>.";
		echo "Veuillez créer manuellement la protection pour
		ce répertoire (un couple login/mot de passe est
		nécessaire).<br />";
		}
		}
		return false;
		}

		// http://doc.spip.org/@gerer_htaccess

ecrire/install/etape_4.php

+16 −7

Numéro de ligne d'origine	Numéro de ligne de diff	Ligne de diff
		@@ -66,6 +66,7 @@ function install_etape_4_dist()
		# (les donnees arrivent de toute facon postees en _DEFAULT_CHARSET)

		lire_metas();
		$suite = '';
		if ($login) {
		include_spip('inc/charsets');

		@@ -74,7 +75,8 @@ function install_etape_4_dist()
		$email = (importer_charset($email, _DEFAULT_CHARSET));
		# pour le passwd, bizarrement il faut le convertir comme s'il avait
		# ete tape en iso-8859-1 ; car c'est en fait ce que voit md5.js
		$pass = unicode2charset(utf_8_to_unicode($pass), 'iso-8859-1'); $mdpass = md5($pass);
		$pass = unicode2charset(utf_8_to_unicode($pass), 'iso-8859-1');
		$mdpass = md5($pass);
		$htpass = generer_htpass($pass);
		$alea = creer_uniqid();
		$id_auteur = sql_getfetsel("id_auteur", "spip_auteurs", "login=" . sql_quote($login));
		@@ -100,18 +102,25 @@ function install_etape_4_dist()

		// Connecter directement celui qui vient de (re)donner son login
		// mais sans cookie d'admin ni connexion longue
		if ($auth_spip = charger_fonction('spip', 'auth', true)
		AND $row = $auth_spip($login, $pass)
		AND $session = charger_fonction('session', 'inc')
		AND $cookie_session = $session($row))
		$spip = charger_fonction('spip', 'auth', true);
		$session = charger_fonction('session', 'inc', true);
		$row = ($spip AND $session) ? $spip($login, $pass) : '';
		if ($row AND $cookie_session = $session($row)) {
		spip_setcookie('spip_session', $cookie_session);
		else spip_log("login automatique impossible $auth_spip $session" . count($row));
		} elseif ($row == false) {
		$suite = "<span style='color: red'>"
		. _L('Attention: htaccess inoperant')
		. '</span>';
		}

		if (!$row)
		spip_log("login automatique impossible $spip $session");
		}

		$config = charger_fonction('config', 'inc');
		$config();

		$suite = "\n<input type='hidden' name='etape' value='fin' />"
		$suite .= "\n<input type='hidden' name='etape' value='fin' />"
		. bouton_suivant(_T('login_espace_prive'));

		echo generer_form_ecrire('install', $suite);