<?php
// index.php
//
// routeur MVC ou controlleur principal
// il traite les GET et passe la main aux contrôleurs
//
// ce site utilise une architecture Modèle-Vue-Contrôleur (MVC)
// le schéma ci-dessous représente le sens dans lequel le code est interprété
//
//               modèle
//                 ^ |
//                 | v
//  routeur --> contrôleur
//                     |
//                     v
//                    vue ---> envoi de la page au client
//
// pour retrouver quelque chose dans le code, il suffit de suivre un chemin linéaire dont le départ est ici
// pas de croisement, pas de marche arrière, impossible de se perdre!
// autre avantage: les chemins sont tous relatifs et sont toujours bons, parce que tous les fichiers sont "inclus" dans index.php
//
// Les dossiers:
// -> controller: traitements en PHP pur
// -> model: interface entre PHP et données, on y trouve le SQL ou la manipulation de fichiers textes, le PHP y est orienté objet
// -> view: le PHP y produit le HTML, il construit les pages,
// le mélange PHP/HTML étant très vite assez dégueulasse, le HTML figé est placé à part dans le fichier view/template.php
// -> public: contient CSS, JS, images, polices, medias, etc, il est utilisé par template.php
// -> lib: les bibliothèques, on y trouve en particulier le ckeditor qui occupe une place centrale dans le projet, et aussi htmLawed qui nettoie le HTML produit par l'éditeur (failles XSS)
// -> data: comme son nom l'indique
//
// Quelques fichiers spéciaux (indépendants de index.php):
// - imageAJAX.php traite les requêtes AJAX envoyées par l'éditeur
// - .htaccess pour la sécurité (configurer le httpd.conf d'apache peut être nécessaire)
// - erreur404.php (fonctionne avec .htaccess)
//
// le dossier data et son contenu sont "normalement" autorisés en écriture pour deux raisons:
// - placer le contenu pré-existant avec son client FTP
// - autoriser PHP (sinon, c'est comme si on avait un site statique)
// -> pour pouvoir installer le site en n'ayant qu'à modifier les droits du dossier data uniquement et éviter les situations pénibles ou l'utilisateur est bloqué sans rien comprendre, on pourra créer ou utiliser des sauvegardes au format ZIP depuis une page spéciale accessible avec le compte admin

// au premier démarrage du site
require('controller/installation.php');
installation();

// à propos des sessions, penser aux attaques CSRF (cross-site request forgery):
// ça consite à faire qu'un utilisateur connecté avec une session envoie malgré lui une requête GET ou POST qu'un hacker aura cachée par exemple dans une fausse image clicable
// - solution: faire qu'un GET seul dans une session ne suffise pas à effectuer une action (les GET ne doivent servir qu'à afficher la bonne page), une attaque sur un POST est possible aussi mais plus difficile et nécessite d'injecter du javascript
// - on peut demander à l'utilisateur une vérification supplémentaire avant chaque action, mais c'est plutôt chiant
// - il y a la méthode des jetons, "nonces" et horodatage
// - vérifier le "référent", c'est à dire l'URL de la page d'où vient normallement la requête
// infos: https://fr.wikipedia.org/wiki/Cross-site_request_forgery
session_start();

// traitement des POST du ckeditor
// la fonction submitCKeditor n'affiche rien (controller/admin.php n'est pas utilisé) puis redirige sans GET
if(isset($_SESSION['admin']) && $_SESSION['admin'] == 1
    && isset($_GET['action']) && $_GET['action'] == 'submit'
    && isset($_POST['contenu']) && $_POST['contenu'] != '')
{
    require('controller/ckeditor.php'); // traitement du POST
    require('lib/htmlawed/htmLawed.php'); // failles XSS
    require('model/Classes.php'); // modèle

    // modification
    if(isset($_SESSION['nomFichier']))
    {
        submitCKeditor($_SESSION['nomFichier']);
    }
    // nouvel article
    else
    {
        submitCKeditor('');
    }

    // nettoyage
    unset($_SESSION['nomFichier']);
    unset($_GET['action']);
    unset($_POST['contenu']);
    header('Location: index.php?page=' . $_GET['page']);
}

// déconnexion: nettoyer et recharger la page
if(isset($_GET['action']) && isset($_GET['page']))
{
    if($_GET['action'] == "deconnexion")
    {
        $_SESSION['admin'] = 0;
        header('Location: index.php?page=' . $_GET['page']);
    }
}

// le site comporte deux modes:
// le mode visiteur en "lecture seule" utilisant le contrôleur visitor.php
// le mode admin avec droits en "écriture" utilisant le contrôleur admin.php

// contrôleur des pages en mode visiteur
// appelé tout le temps parce que certaines pages (accueil, menu) n'ont pas de version "admin" => à améliorer
require('controller/visitor.php');

// utile pour presque toutes les pages
if(isset($_GET['page']) && $_GET['page'] != 'menu')
{
    require('model/Classes.php');
}

// contrôleur des pages en mode admin
if(isset($_SESSION['admin']) && $_SESSION['admin'] == 1)
{
    require('controller/admin.php');
}
else
{
    // initialisation
    $_SESSION['admin'] = 0;
}

// mot de passe de connexion à protéger par le .htaccess !!
$secret = "julian";

// page du site demandée
if(isset($_GET['page']))
{
    // page menu
    if($_GET['page'] == 'menu')
    {
        menu();
    }

    // page melaine
    elseif($_GET['page'] == 'melaine')
    {
        // Si ouverture de l'éditeur pour modification:
        // le lien utilisé pour ouvrir l'éditeur contient un GET avec le numéro de l'article, mais pas le nom du fichier que le visiteur ne doit pas voir
        // GET, POST, cookies => navigation (utiles au visiteur)
        // sessions => action
        // c'est ici qu'on passe des GET aux sessions
        // on associe maintenant le numéro de l'article et le nom du fichier, l'article déjà existant inséré dans l'éditeur DOIT être celui qui sera modifié

        if($_SESSION['admin'] == 1 && isset($_GET['action']) && $_GET['action'] == 'editor')
        {
            // modification
            if(isset($_GET['article']) && is_numeric($_GET['article']) && $_GET['article'] > 0)
            {
                melaineEdit($_GET['article'], 0);
            }
            // nouvel article
            else
            {
                // par sécurité
                if(isset($_SESSION['nomFichier']))
                {
                    unset($_SESSION['nomFichier']);
                }
                melaineEdit(0, 0);
            }
        }
        // suppression
        else if($_SESSION['admin'] == 1 && isset($_GET['action']) && $_GET['action'] == 'suppression')
        {
            melaineEdit($_GET['article'], 1);
        }
        else
        {
            melaineVisitor();
        }
    }
    // page discographie
    elseif($_GET['page'] == 'discographie')
    {
        if($_SESSION['admin'] == 1 && isset($_GET['action']) && $_GET['action'] == 'edition')
        {
            // modification
            if(isset($_GET['album']) && is_numeric($_GET['album']) && $_GET['album'] > 0)
            {
                discoEdit($_GET['album'], 0);
            }
            // nouvel article
            else
            {
                // par sécurité
                if(isset($_SESSION['nomFichier']))
                {
                    unset($_SESSION['nomFichier']);
                }
                discoEdit(0, 0);
            }
        }
        // suppression
        else if($_SESSION['admin'] == 1 && isset($_GET['action']) && $_GET['action'] == 'suppression')
        {
            discoEdit($_GET['album'], 1);
        }
        else
        {
            discoVisitor();
        }
    }
    // page connexion au mode admin
    elseif($_GET['page'] == 'connexion')
    {
        connexion($secret);
    }
    // $_GET['page'] = n'importe quoi!
    else
    {
        menu();
    }
}

// actions en mode admin recharger une des pages principales
elseif($_SESSION['admin'] == 1 && isset($_GET['action']))
{
    if($_GET['action'] == 'nouveau_mdp')
    {
        changerMotDePasse($secret, $_GET['from']);
    }
    // extraction du contenu du dossier data
    else if($_GET['action'] == 'extraction')
    {
        require('controller/backup.php');
        extraction($_GET['from']);
    }
    // l'inverse, insertion des données d'une sauvegarde
    else if($_GET['action'] == 'insertion')
    {
        require('controller/backup.php');
        insertion($_GET['from']);
    }
    else
    {
        accueil();
    }
}

// renvoi ici par le .htaccess si lien mort ou sans http:// au début
elseif(isset($_GET['erreur']))
{
    //if($_GET['erreur'] == 404)
    //{
    //    echo('<p style="color: red;" >ERREUR 404<br/>Le lien sur lequel vous avez cliqué pointe vers un emplacement introuvable.<br />
    //      Ce n\'est pas votre faute. Vous pouvez éventuellement rechercher la page demandée avec votre moteur de recherche ou prévenir le responsable du site.</p>');
    //    echo('<p><a href="index.php" >Retour au site</a></p>');
    //}
    //else
    //{
        accueil();
        // accueil_404(); // à créer
    //}
}

// page d'accueil (adresse sans GET valable)
else
{
    accueil();
}