RGPD cookie uniquement en mode admin et avertissement, logo journal

author: polo <ordipolo@gmx.fr> 2024-02-08 04:31:14 +0100
committer: polo <ordipolo@gmx.fr> 2024-02-08 04:31:14 +0100
commit: ccc9a05b758f1dc0313b96807edfc447a9e8d278 (patch)
tree: 114808e506b2bedabdc3ad09770edd7e5eb64e81 /controller
parent: 1ad47a7ca38e679a50c8dfee004db88b1633d7cf (diff)
download: melaine-ccc9a05b758f1dc0313b96807edfc447a9e8d278.zip
7 files changed, 285 insertions, 176 deletions
diff --git a/controller/ajax.php b/controller/ajax.php
index 1a4909e..96df9cb 100644
--- a/controller/ajax.php
+++ b/controller/ajax.php
@@ -4,12 +4,12 @@
 // traitement des requêtes AJAX
-// -> insertion d'une image dans l'éditeur
+// éditeur
+// -> insertion d'une image
 if(isset($_GET['action']) && isset($_GET['page']) && $_GET['action'] == 'upload_image')
 {
    // sécurité !!
-    if(!isset($_SESSION['admin']) || $_SESSION['admin'] != 1
+    if(!isset($_SESSION) || !isset($_FILES['upload']) || empty($_FILES['upload']))
-        || !isset($_FILES['upload']) || empty($_FILES['upload']))
    {
        // sans effet?
        header('Location: index.php?erreur=image_ajax');
@@ -48,7 +48,7 @@ if(isset($_GET['action']) && isset($_GET['page']) && $_GET['action'] == 'upload_
 if(isset($_GET['action']) && $_GET['action'] == 'restauration'
    && isset($_GET['file_name']) && isset($_GET['file_size']))
 {
-    if(!isset($_SESSION['admin']) || $_SESSION['admin'] != 1)
+    if(!isset($_SESSION))
    {
        header('Location: index.php?erreur=file_infos_ajax');
    }
@@ -56,8 +56,6 @@ if(isset($_GET['action']) && $_GET['action'] == 'restauration'
    {
        $_SESSION['fileSize'] = $_GET['file_size'];
        $_SESSION['fileName'] = $_GET['file_name'];
-        //echo("file infos send");
-        //var_dump($_SESSION['fileName']);
        exit(); // stop !!
    }
 }
@@ -65,8 +63,7 @@ if(isset($_GET['action']) && $_GET['action'] == 'restauration'
 if(isset($_GET['action']) && $_GET['action'] == 'restauration'
    && isset($_GET['chunk_name']) && isset($_FILES['blob']))
 {
+    if(!isset($_SESSION))
-    if(!isset($_SESSION['admin']) || $_SESSION['admin'] != 1)
    {
        header('Location: index.php?erreur=upload_ajax');
    }
@@ -79,7 +76,7 @@ if(isset($_GET['action']) && $_GET['action'] == 'restauration'
    }
 }
-// nettoyage
+// nettoyage systématique
 if(!isset($_GET['action']) || $_GET['action'] != 'restauration')
 {
    if(isset($_SESSION['fileName']))
diff --git a/controller/backup.php b/controller/backup.php
index c10ca21..52f300f 100644
--- a/controller/backup.php
+++ b/controller/backup.php
@@ -10,7 +10,7 @@ function pageSauvegarde($from)
        $date = date("d-m-Y", time());
        $nomFichier = "melaineDATA_" . $date;
        // ne prendre que les dossiers pour exclure les fichiers password.txt, melaineDATA.zip et melainePHP.zip existant
-        $dossiersCibles = [ 'data/archives', 'data/musique', 'data/jaime', 'data/presse', 'data/livres', 'data/legal', 'data/discographie', 'data/melaine', 'data/peinture' ];
+        $dossiersCibles = [ 'data/menu', 'data/archives', 'data/musique', 'data/jaime', 'data/presse', 'data/livres', 'data/legal', 'data/discographie', 'data/melaine', 'data/peinture' ];
        //$fichiersALaRacine = [];
        createZip($cheminDestination, $nomFichier, $dossiersCibles);
@@ -177,7 +177,7 @@ function pageRestauration($from)
                $message = restoreData($path);
        }
-        // variables obtenues en AJAX
+        // variables crées dans ajax.php
        if(isset($_SESSION['fileName']))
        {
                unset($_SESSION['fileName']);
@@ -206,8 +206,8 @@ function pageRestauration($from)
        require('view/backup.php');
 }
-// upload AJAX d'un zip dans file_upload.js
+// upload AJAX d'un zip en morceaux dans file_upload.js
-function uploadChunkAndMerge()
+function uploadChunkAndMerge() // appel dans ajax.php
 {
        // $_GET['chunk_name'] n'est pas utilisé pour l'instant
diff --git a/controller/ckeditor.php b/controller/ckeditor.php
index 1707128..d0c5824 100644
--- a/controller/ckeditor.php
+++ b/controller/ckeditor.php
@@ -18,8 +18,9 @@ function preparationCKeditor($html)
        header('Location: index.php?erreur=empty_input');
    }
-    // supprimer espaces, tabulations et sauts de ligne en début et fin de chaine
+    // sécuriser le HTML
-    $html = trim($html);
+    require('controller/Security.php');
+    $html = Security::secureString($html);
    // supprimer les sauts de ligne
    $sautsDeLigne = array("\n", "\r", "\r\n");
@@ -58,7 +59,7 @@ function getFileCodeFromHTTPReferrer(): string
 function submitCKeditor()
 {
    // déjà fait mais on ne sait jamais
-    if(!isset($_SESSION['admin']) || $_SESSION['admin'] != 1)
+    if(!isset($_SESSION))
    {
        header('Location: index.php?page=' . $_GET['page'] . '&erreur=connexion');
        exit();
diff --git a/controller/config.php b/controller/config.php
index 6fc7000..804671b 100644
--- a/controller/config.php
+++ b/controller/config.php
@@ -34,7 +34,7 @@ else
    echo('<script>alert(\'Erreur: Une de ces extensions de PHP est nécessaire: imagemagick ou GD. Veuillez activer une des deux dans le fichier php.ini ou installer le paquet php-imagick ou php-gd.\');</script>');
 }
-// format dans lequel créer les sauvegardes
+// format dans lequel créer les sauvegardes,
 // zip uniquement pour l'instant
 if(extension_loaded("zip"))
 {
@@ -48,7 +48,7 @@ else
 // conversion des 2M du php.ini en 2000000
 // note: les kibi, mébi et gibi sont inutiles ici
-function returnBytes ($size_str) // chaine du style '2M'
+function returnBytes($size_str) // chaine du style '2M'
 {
    switch (substr ($size_str, -1))
    {
diff --git a/controller/cookies.php b/controller/cookies.php
new file mode 100644
index 0000000..f5c7e64
--- /dev/null
+++ b/controller/cookies.php
@@ -0,0 +1,66 @@
+<?php
+// controller/cookies.php
+// nettoyage du cookie de session de l'ancienne version du site
+$cookie = 'PHPSESSID';
+if(isset($_COOKIE[$cookie]))
+{
+    deleteCookie($cookie);
+    header("Location: index.php");
+    exit();
+}
+// session_start()
+$cookie = 'session_admin';
+if(isset($_COOKIE[$cookie])) // détection du cookie
+{
+    if(session_status() === PHP_SESSION_NONE)
+    {
+        session_name($cookie);
+        /*session_set_cookie_params([
+            'lifetime' => 0,
+            'path' => '/',
+            'domain' => $_SERVER['HTTP_HOST'],
+            'secure' => true,
+            'httponly' => true,
+            'samesite' => 'strict']);
+        session_start();*/
+        
+        /*session_start([
+            'cookie_lifetime' => 0,
+            'cookie_path' => '/',
+            'cookie_domain' => $_SERVER['HTTP_HOST'],
+            'cookie_secure' => true,
+            'cookie_httponly' => true,
+            'cookie_samesite' => 'strict']);*/
+        session_start();
+        // le cookie ne semble pas prendre les paramètres! pourquoi?
+        //var_dump(session_get_cookie_params());
+    }
+    else // cas anormal: session déjà démarrée, mode parano activé!
+    {
+        deleteCookie($cookie);
+        header("Location: index.php");
+        exit();
+    }
+}
+// erreurs affichées au rechargement (lesquelles déjà?)
+if(isset($_SESSION['erreur']) && !empty($_SESSION['erreur']))
+{
+    echo('<script>alert(\'' . $_SESSION['erreur'] . '\');</script>');
+    unset($_SESSION['erreur']);
+}
+function deleteCookie(string $name)
+{
+    unset($_COOKIE[$name]); // utile?
+    setcookie($name, '', time() - 4200, '/'); // suppression
+    
+    // cookie supprimé au prochain chargement de la page
+    // forcer un rechargement pour effet immédiat
+    //header("Location: index.php");
+    //exit();
+}
diff --git a/controller/installation.php b/controller/installation.php
index f0d2890..90dcd28 100644
--- a/controller/installation.php
+++ b/controller/installation.php
@@ -1,5 +1,7 @@
 <?php
 // controller/installation.php
+//
+// .htaccess, dépendances et création des dossiers
 // premier démarrage du site
 function installation()
@@ -23,7 +25,8 @@ function installation()
    }
    // extensions de php
-    // nécessité de 'dom' à confirmer
+    // nécessité de "imagick" OU de "gd" (on préfère imagick)
+    // "dom" n'est pas nécessaire pour l'instant
    $extensions = ['imagick', 'gd', 'zip', 'mbstring', 'dom'];
    foreach($extensions as $extension)
    {
@@ -132,8 +135,14 @@ function installation()
        createZipMelainePHP();
    }
-    // création d'un mot de passe si password.txt est vide
-    existPassword();
+    // mot de passe
+    if(!file_exists('data/password.txt'))
+    {
+        touch('data/password.txt');
+        chmod('data/password.txt', 0600);
+    }
+    existPassword(); // création si fichier vide
 }
 function createIndexPHP($path, $droitsFichiers)
diff --git a/controller/password.php b/controller/password.php
index fa4f2c1..5e556e9 100644
--- a/controller/password.php
+++ b/controller/password.php
@@ -1,27 +1,31 @@
 <?php
 // controller/password.php
+//
+// fichier data/password.txt et test captcha
 // exécutée dans installation.php à l'ouverture de chaque page
 function existPassword()
 {
-        // création du fichier
-    if(!file_exists('data/password.txt'))
-    {
-        touch('data/password.txt');
-        chmod('data/password.txt', 0600);
-    }
    // lecture
-        $hashedPassword = file_get_contents('data/password.txt');
+    $file_name = 'data/password.txt';
+        $hashedPassword = file_get_contents($file_name);
        if($hashedPassword === false)
        {
-                echo('Erreur: ouverture du fichier password.txt impossible.');
+                echo('Erreur: ouverture du fichier ' . $file_name . ' impossible.');
                exit();
        }
+        $file_name = 'data/tmp/solution.txt';
        if(empty($hashedPassword))
        {
+                unset($_GET);
                createPassword();
+                exit();
+        }
+        // nettoyage
+        elseif(isset($_GET['page']) && $_GET['page'] != 'connexion' && file_exists($file_name))
+        {
+                unlink($file_name);
        }
 }
@@ -90,210 +94,247 @@ function controlCaptchaInput(): int
 function createPassword()
 {
-        // paranoïa?
+        // I - traitement
-        if(isset($_SESSION['admin']))
+        // cas anormal: session déjà existante
+        global $cookie; // nom du cookie dans cookies.php
+        if(isset($_COOKIE[$cookie]))
        {
-                unset($_SESSION['admin']);
+                deleteCookie($cookie); // cookie supprimé au rechargement
                header("Location: index.php");
-                exit();
+        exit();
        }
-        $captcha = createCaptcha();
-        
-        $title = 'Bienvenue Melaine Favennec';
-        $subHeading = 'Veuillez choisir le mot de passe que vous utiliserez pour gérer le site.';
-        require('view/password.php');
        // contrôle de la saisie
-        if(isset($_POST['motdepasse']) && !empty($_POST['motdepasse']) && isset($_POST['captcha']) && (int) $_POST['captcha'] == $_SESSION['captcha'])
+        $file_name = 'data/tmp/solution.txt';
+        $error = '';
+        if(file_exists($file_name))
        {
-                // caractères non désirés supprimés
+                $captcha_solution = file_get_contents($file_name);
-                // impossible d'entrer un espace ou une tabulation et de valider par erreur
+                unlink($file_name);
-                require('controller/Security.php');
-                $password = Security::secureString($_POST['motdepasse']);
-                $password = removeSpacesTabsCRLF($_POST['motdepasse']);
-                // enregistrement
+                if(empty($_POST)) // page rechargée
-                if(isset($password) && $password == $_POST['motdepasse'])
+                {}
+                elseif(!isset($_POST['captcha']) || controlCaptchaInput() == 0)
+                {
+                        $error = 'error_non_valid_captcha';
+                }
+                elseif($_POST['captcha'] != $captcha_solution)
                {
-                        hashNewPassword($_POST['motdepasse']);
+                        $error = 'bad_solution_captcha';
-                        unset($_SESSION['captcha']); // nettoyage
+                }
-                        header('Location: index.php');
+                elseif(!isset($_POST['motdepasse']) || empty($_POST['motdepasse']))
+                {
+                        $error = 'bad_password';
                }
-                // mot de passe non valable
                else
                {
-                        sleep(1);
+                        // -> caractères HTML dangereux supprimés
-                        echo($header);
+                        // -> empêche validation par erreur d'une chaine "vide"
-                        echo($errorPassword);
+                        require('controller/Security.php');
-                        echo($formulaireNouveauMDP);
+                        $password = Security::secureString($_POST['motdepasse']);
-                        echo($errorBadCharacters);
+                        $password = removeSpacesTabsCRLF($_POST['motdepasse']);
+                        // enregistrement et redirection
+                        if(isset($password) && $password == $_POST['motdepasse'])
+                        {
+                                hashNewPassword($_POST['motdepasse']);
+                                header('Location: index.php');
+                                exit();
+                        }
+                        else
+                        {
+                                $error = 'bad_password';
+                        }
                }
        }
-        // saisie non valide
+        else // première fois
-        elseif(isset($_POST['captcha']) && controlCaptchaInput() == 0)
+        {}
-        {
+        
-                sleep(1);
+        // inséré dans $captchaHtml puis dans $formulaireNouveauMDP
-                echo($header);
+        $captcha = createCaptcha();
-                echo($errorNonValidCaptcha);
+        // enregistrement de la réponse du captcha pour vérification
-                echo($formulaireNouveauMDP);
+        saveSolutionCaptcha($captcha[2]);
-                echo($errorBadCharacters);
-        }
-        // mauvais captcha
+        // II - affichage
-        elseif(isset($_POST['captcha']) && (int) $_POST['captcha'] != $_SESSION['captcha'])
+        $title = 'Bienvenue Melaine Favennec';
+        $subHeading = 'Veuillez choisir le mot de passe que vous utiliserez pour gérer le site.';
+        // même vue que la fonction changerMotDePasse()
+        require('view/password.php');
+        echo($header);
+        if($error != '')
        {
                sleep(1);
-                echo($header);
+                echo($error_messages[$error]);
-                echo($errorCaptcha);
-                echo($formulaireNouveauMDP);
-                echo($errorBadCharacters);
-        }
-        // 1ère fois
-        else
-        {
-                echo($header);
-                echo($formulaireNouveauMDP);
-                echo($errorBadCharacters);
-                //echo($warning); // message pas top
        }
+        echo($formulaireNouveauMDP);
+        echo($error_messages['forbidden_characters']);
        echo($footer);
-        // fois suivante (dispense de nettoyer la variable)
-        $_SESSION['captcha'] = $captcha[2];
-        exit();
 }
 function connect()
 {
+        // I - traitement
        // déjà en mode admin
-        if($_SESSION['admin'] == 1)
+        global $cookie; // nom du cookie dans cookies.php
+        if(isset($_COOKIE[$cookie]))
        {
-            header('Location: index.php?page=' . $_GET['from']);
+                header('Location: index.php?page=' . $_GET['from']);
-            exit();
+                exit();
        }
-        // Ajouter une sécurité par cpatcha avec un "input" supplémentaire
+        // contrôle de la saisie
+        $file_name = 'data/tmp/solution.txt';
+        $error = '';
+        if(file_exists($file_name))
+        {
+                $captcha_solution = file_get_contents($file_name);
+                unlink($file_name);
+                if(empty($_POST)) // page rechargée
+                {}
+                elseif(!isset($_POST['captcha']) || controlCaptchaInput() == 0)
+                {
+                        $error = 'error_non_valid_captcha';
+                }
+                elseif($_POST['captcha'] != $captcha_solution)
+                {
+                        $error = 'bad_solution_captcha';
+                }
+                elseif(!isset($_POST['motdepasse']) || empty($_POST['motdepasse']))
+                {
+                        $error = 'bad_password';
+                }
+                else
+                {
+                        // enregistrement et redirection
+                        if(testPassword($_POST["motdepasse"]))
+                        {
+                                session_name($cookie);
+                                session_start();
+                                header('Location: index.php?page=' . $_GET['from']);
+                                exit();
+                        }
+                        else
+                        {
+                                $error = 'bad_password';
+                        }
+                }
+        }
+        else // première fois
+        {}
+        // inséré dans $captchaHtml puis dans $formulaireNouveauMDP
        $captcha = createCaptcha();
-        // Et créer une variable de session pour la réponse au CAPTCHA
+        // enregistrement de la réponse du captcha pour vérification
+        saveSolutionCaptcha($captcha[2]);
+        // II - affichage
        $title = "Connexion";
        $subHeading = "Veuillez saisir votre mot de passe pour pouvoir apporter des modifications au site.";
+        // même vue que la fonction changerMotDePasse()
-        // cette page utilise la même vue que la fonction changerMotDePasse() dans controller/admin.php
        require('view/password.php');
        echo($header);
+        //echo($warning_messages['message_disconnect']);
-        // bon codes (mot de passe et captcha)
+        if($error != '')
-        if(isset ($_POST["motdepasse"]) && testPassword($_POST["motdepasse"]) && isset($_POST['captcha']) && (int) $_POST['captcha'] == $_SESSION['captcha'])
-        {
-                $_SESSION['admin'] = 1;
-                unset($_SESSION['captcha']); // nettoyage
-            header('Location: index.php?page=' . $_GET['from']);
-            exit();
-        }
-        // saisie non valide
-        elseif(isset($_POST['captcha']) && controlCaptchaInput() == 0)
-        {
-                echo($errorNonValidCaptcha);
-                sleep(1);
-                echo($formulaireConnexion);
-        }
-        // mauvais captcha
-        elseif(isset($_POST['captcha']) && (int) $_POST['captcha'] != $_SESSION['captcha'])
        {
-                echo($errorCaptcha);
                sleep(1);
-            echo($formulaireConnexion);
+                echo($error_messages[$error]);
        }
+        echo($formulaireConnexion);
+        echo($warning_messages['message_cookie']);
+        echo($warning_messages['private_browsing']);
+        echo($footer);
+}
-        // mauvais codes
-        elseif(isset ($_POST["motdepasse"]) && !testPassword($_POST["motdepasse"]))
-        {
-                // défense aux attaques par force brute
-                // pas parfait, ne marche pas si l'attaquant multiplie les connexions au site
-                echo($errorPassword);
-                sleep(1);
-            echo($formulaireConnexion);
-        }
-        // première arrivée sur la page
+function saveSolutionCaptcha(string $solution)
-        else
+{
-        {
+        $file_name = 'data/tmp/solution.txt';
-            echo($formulaireConnexion);
+        if(!file_exists($file_name))
-        }
+    {
+        touch($file_name);
-        // fois suivante (dispense de nettoyer la variable)
+        chmod($file_name, 0600);
-        $_SESSION['captcha'] = $captcha[2];
+    }
-        
+    file_put_contents($file_name, $solution);
-        echo($messageDeconnect);
-        echo($footer);
 }
 function changePassword()
 {
+        // I - traitement
        // vérification supplémentaire
-        if($_SESSION['admin'] !== 1)
+        global $cookie; // nom du cookie dans cookies.php
+        if(!isset($_SESSION))
        {
-                $_SESSION['admin'] = 0;
+                deleteCookie($cookie);
            header('Location: index.php?page=' . $_GET['from']);
            exit();
        }
-        $title = "Nouveau mot de passe";
+        // contrôle de la saisie
-        $subHeading = "Veuillez saisir votre actuel mot de passe suivi du nouveau.";
+        $error = '';
+        $success = false;
-        require('view/password.php');
+        if(empty($_POST)) // première fois ou page rechargée
-        echo($header);
+        {}
+        elseif(!isset($_POST['nouveauMotdepasse']) || empty($_POST['nouveauMotdepasse'])|| !isset($_POST['ancienMotdepasse']) || empty($_POST['ancienMotdepasse']))
-        // conformité du nouveau mot de passe
+        {
-        if(isset($_POST['nouveauMotdepasse']) && !empty($_POST['nouveauMotdepasse']))
+                $error = 'bad_password';
+        }
+        else
        {
                require('controller/Security.php');
                $newPassword = Security::secureString($_POST['nouveauMotdepasse']);
                $newPassword = removeSpacesTabsCRLF($_POST['nouveauMotdepasse']);
-        }
-        // bon mot de passe
+                if(isset($newPassword) && $newPassword !== $_POST['nouveauMotdepasse']) // erreur de conformité
-        if(isset($newPassword) && $newPassword === $_POST['nouveauMotdepasse']
+                {
-                && isset ($_POST["ancienMotdepasse"]) && testPassword($_POST["ancienMotdepasse"]))
+                        $error = 'forbidden_characters';
-        {
+                }
-                // enregistrement et confirmation
+                else
-                hashNewPassword($_POST["nouveauMotdepasse"]);
+                {
-                echo($message); 
+                        if(testPassword($_POST["ancienMotdepasse"]))
+                        {
+                                // enregistrement et confirmation
+                                hashNewPassword($_POST["nouveauMotdepasse"]);
+                                $success = true;
+                        }
+                        else
+                        {
+                                $error = 'bad_password';
+                        }
+                }
        }
-        // mauvais mot de passe
-        elseif(isset ($_POST["ancienMotdepasse"]) && !testPassword($_POST["ancienMotdepasse"]))
+        // II - affichage
+        $title = "Nouveau mot de passe";
+        $subHeading = "Veuillez saisir votre actuel mot de passe suivi du nouveau.";
+        require('view/password.php');
+        echo($header);
+        if($error != '')
        {
-                // défense aux attaques par force brute
-                // pas parfait, ne marche pas si l'attaquant multiplie les connexions au site
-                echo($errorPassword);
                sleep(1);
-            echo($formulaireModifMDP);
+                echo($error_messages[$error]);
        }
-        // erreur de conformité
+        elseif($success)
-        elseif(isset($newPassword) && $newPassword !== $_POST['nouveauMotdepasse'])
        {
-                echo($errorBadCharacters);
+                echo($alertJSNewPassword);
-                echo($formulaireModifMDP);
        }
-        // première arrivée sur la page
+        echo($formulaireModifMDP);
-        else
-        {
-            echo($formulaireModifMDP);
-        }
-        //echo($warning);
        echo($footer);
 }
-// hachage
 function hashNewPassword(string $newPassword)
 {
-        // "réparation" des espaces accidentels
-        $newPassword= trim($newPassword);
        // hachage
        $newHashedPassword = password_hash($newPassword, PASSWORD_DEFAULT);
@@ -306,14 +347,9 @@ function hashNewPassword(string $newPassword)
 function testPassword(string $password): bool
 {
-        // lecture
+        $hashedPassword = file_get_contents('data/password.txt');
-        $oldHashedPassword = file_get_contents('data/password.txt');
-        // "réparation" des espaces accidentels
-        $password= trim($password);
-        $oldHashedPassword = trim($oldHashedPassword);
-        if(password_verify($password, $oldHashedPassword))
+        if(password_verify($password, $hashedPassword))
        {
                return true;
        }
author	polo <ordipolo@gmx.fr>	2024-02-08 04:31:14 +0100
committer	polo <ordipolo@gmx.fr>	2024-02-08 04:31:14 +0100
commit	ccc9a05b758f1dc0313b96807edfc447a9e8d278 (patch)
tree	114808e506b2bedabdc3ad09770edd7e5eb64e81 /controller
parent	1ad47a7ca38e679a50c8dfee004db88b1633d7cf (diff)
download	melaine-ccc9a05b758f1dc0313b96807edfc447a9e8d278.zip