Newer
Older
cedric@yterium.com
a validé
<?php
/***************************************************************************\
* SPIP, Système de publication pour l'internet *
cedric@yterium.com
a validé
* *
* Copyright © avec tendresse depuis 2001 *
* Arnaud Martin, Antoine Pitrou, Philippe Rivière, Emmanuel Saint-James *
cedric@yterium.com
a validé
* *
* Ce programme est un logiciel libre distribué sous licence GNU/GPL. *
cedric@yterium.com
a validé
\***************************************************************************/
cedric@yterium.com
a validé
if (!defined('_ECRIRE_INC_VERSION')) {
return;
}
cedric@yterium.com
a validé
include_spip('inc/headers');
// acces aux documents joints securise
// verifie soit que le demandeur est authentifie
// soit que le document est publie, c'est-a-dire
// joint a au moins 1 article ou rubrique publie
function action_acceder_document_dist() {
cedric@yterium.com
a validé
include_spip('inc/documents');
// $file exige pour eviter le scan id_document par id_document
$f = rawurldecode(_request('file'));
$file = get_spip_doc($f);
$arg = rawurldecode(_request('arg'));
if (
strpos($f, '../') !== false
marcimat@rezo.net
a validé
or preg_match(',^\w+://,', $f)
cedric@yterium.com
a validé
) {
cedric@yterium.com
a validé
$status = 403;
} else {
marcimat@rezo.net
a validé
if (!file_exists($file) or !is_readable($file)) {
cedric@yterium.com
a validé
$status = 404;
} else {
$where = 'D.fichier=' . sql_quote(set_spip_doc($file))
. ($arg ? ' AND D.id_document=' . intval($arg) : '');
$doc = sql_fetsel(
'D.id_document, D.titre, D.fichier, T.mime_type, T.inclus, D.extension',
'spip_documents AS D LEFT JOIN spip_types_documents AS T ON D.extension=T.extension',
$where
);
cedric@yterium.com
a validé
if (!$doc) {
$status = 404;
cedric@yterium.com
a validé
} else {
cedric@yterium.com
a validé
// ETag pour gerer le status 304
$ETag = md5($file . ': ' . filemtime($file));
if (
isset($_SERVER['HTTP_IF_NONE_MATCH'])
marcimat@rezo.net
a validé
and $_SERVER['HTTP_IF_NONE_MATCH'] == $ETag
cedric@yterium.com
a validé
) {
http_response_code(304); // Not modified
cedric@yterium.com
a validé
exit;
} else {
header('ETag: ' . $ETag);
}
//
// Verifier les droits de lecture du document
// en controlant la cle passee en argument
//
include_spip('inc/securiser_action');
$cle = _request('cle');
if (!verifier_cle_action($doc['id_document'] . ',' . $f, $cle)) {
spip_log("acces interdit $cle erronee");
$status = 403;
}
cedric@yterium.com
a validé
}
}
}
cedric@yterium.com
a validé
switch ($status) {
case 403:
include_spip('inc/minipres');
echo minipres();
break;
cedric@yterium.com
a validé
cedric@yterium.com
a validé
case 404:
http_response_code(404);
cedric@yterium.com
a validé
include_spip('inc/minipres');
echo minipres(_T('erreur') . ' 404', _T('medias:info_document_indisponible'));
cedric@yterium.com
a validé
break;
cedric@yterium.com
a validé
cedric@yterium.com
a validé
default:
include_spip('inc/livrer_fichier');
cedric@yterium.com
a validé
$options = ['attachment' => false];
cedric@yterium.com
a validé
if ($doc['inclus'] == 'non') {
$options['attachment'] = true;
cedric@yterium.com
a validé
// Si le fichier a un titre avec extension,
// ou si c'est un nom bien connu d'Unix, le prendre
// sinon l'ignorer car certains navigateurs pataugent
if (
isset($doc['titre'])
marcimat@rezo.net
a validé
and (preg_match('/^\w+[.]\w+$/', $doc['titre']) or $doc['titre'] == 'Makefile')
cedric@yterium.com
a validé
) {
$options['attachment'] = $doc['titre'];
cedric@yterium.com
a validé
}
}
spip_livrer_fichier($file, $doc['mime_type'], $options);
exit;
cedric@yterium.com
a validé
break;