summaryrefslogtreecommitdiff
path: root/index.php
blob: ccce82a343902ec4172045c0e6926f8345855341 (plain) 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233

<?php
// index.php
//
// routeur MVC ou controlleur principal
// il récupère les GET, inclut les contrôleurs et appelle des fonctions
// ce site utilise une architecture Modèle-Vue-Contrôleur (MVC)
// le schéma ci-dessous représente le sens dans lequel le code est interprété
//
//                modèle
//                  ^ |
//                  | v
//  routeur --> contrôleur
//                   |
//                   v
//                  vue ---> envoi de la page au client
//
// pour retrouver quelque chose dans le code, il suffit de suivre un chemin linéaire dont le départ est ici
// pas de croisement, pas de marche arrière, impossible de se perdre!
//
// à la racine de l'arbre des fichiers nous avons:
// - 1 fichier index.php sur lequel se greffe tout le reste
// - 4 dossiers pricipaux: controller - model - view - public
// un avantage est que les chemins sont tous relatifs, partent tous de la racine du site et sont toujours bons

// Les dossiers:
// -> contrôleurs: traitements en PHP pur
// -> modèles: interface entre PHP et données, on y trouve le SQL ou la manipulation de fichiers textes, le PHP y est générlement orienté objet
// -> vues: le PHP y produit le HTML, il construit les pages,
// le mélange PHP/HTML étant très vite assez dégueulasse, le HTML figé à placé à part dans le fichier view/template.php
// -> le dossier public contient CSS, JS, images, polices, medias, etc, il est utilisé par le template
// -> le dossier lib contient les bibliothèques, il contient notamment le ckeditor qui occupe une place centrale dans le projet, on y trouve aussi la bibli htmLawed qui protège des données dangereuses (failles XSS)
// -> le dossier data qui est techniquement séparé du site
//
// pour le reste nous avons:
// - le fichier imageAJAX.php traitant les requêtes AJAX
// ce fichier est appelé sans index.php et est pour cette raison un peu spécial
// - 1 fichier .htaccess pour la sécurité (configurer le httpd.conf peut être nécessaire)
// - 1 fichier erreur404.php (fonctionne avec .htaccess)
// - des bibliothèques externes dans lib:
// ckeditor5, ckfinder, htmlawed et HtmlFormatter
//
// le dossier data et son contenu sont "normalement" autorisés en écriture pour deux raisons:
// - placer le contenu pré-existant avec son client FTP
// - autoriser PHP (sinon, c'est comme si on avait un site statique)
//
// pour pouvoir installer le site en n'ayant qu'à modifier les droits du dossier data uniquement et éviter les situations pénibles ou l'utilisateur est bloqué sans rien comprendre, on pourra créer ou utiliser des sauvegardes au format ZIP depuis une page spéciale accessible avec le compte admin

// au premier démarrage du site
require('controller/installation.php');
installation();

// à propos des sessions, penser aux attaques CSRF (cross-site request forgery):
// ça consite à faire qu'un utilisateur connecté avec une session envoie malgré lui une requête GET ou POST qu'un hacker aura cachée par exemple dans une fausse image clicable
// - solution: faire qu'un GET seul dans une session ne suffise pas à effectuer une action (les GET ne doivent servir qu'à afficher la bonne page), une attaque sur un POST est possible aussi mais plus difficile et nécessite d'injecter du javascript
// - on peut demander à l'utilisateur une vérification supplémentaire avant chaque action, mais c'est plutôt chiant
// - il y a la méthode des jetons, "nonces" et horodatage
// - vérifier le "référent", c'est à dire l'URL de la page d'où vient normallement la requête
// infos: https://fr.wikipedia.org/wiki/Cross-site_request_forgery
session_start();

// sécurité failles XSS
require('lib/htmlawed/htmLawed.php');

// traitement des POST du ckeditor
// la fonction submitCKeditor n'affiche rien (controller/admin.php n'est pas utilisé) puis redirige sans GET
if(isset($_SESSION['admin']) && $_SESSION['admin'] == 1
    && isset($_GET['action']) && $_GET['action'] == 'submit'
    && isset($_POST['contenu']) && $_POST['contenu'] != '')
{
    require('controller/ckeditor.php');
    // modification
    if(isset($_SESSION['nomFichier']))
    {
        submitCKeditor($_GET['page'], $_SESSION['nomFichier'], $_POST['contenu']);
    }
    // nouvel article
    else
    {
        submitCKeditor($_GET['page'], '', $_POST['contenu']);
    }

    // nettoyage
    unset($_SESSION['nomFichier']);
    unset($_GET['action']);
    unset($_POST['contenu']);
    header('Location: index.php?page=' . $_GET['page']);
}

// déconnexion: nettoyer et recharger la page
if(isset($_GET['action']))
{
    if($_GET['action'] == "deconnexion")
    {
        $_SESSION['admin'] = 0;
        header('Location: index.php');
    }
}

// le site comporte deux modes:
// le mode visiteur en "lecture seule" utilisant le contrôleur visitor.php
// le mode admin avec droits en "écriture" utilisant le contrôleur admin.php

// contrôleur des pages en mode visiteur
// appelé tout le temps parce que certaines pages (accueil, menu) n'ont pas de version "admin" => à améliorer
require('controller/visitor.php');

// utile pour presque toutes les pages
if(isset($_GET['page']) && $_GET['page'] != 'menu')
{
    require('model/melaine-read.php');
}

// contrôleur des pages en mode admin
if(isset($_SESSION['admin']) && $_SESSION['admin'] == 1)
{
    require('controller/admin.php');
}
else
{
    // initialisation
    $_SESSION['admin'] = 0;
}

// mot de passe de connexion à protéger par le .htaccess !!
$secret = "julian";

// page du site demandée
if(isset($_GET['page']))
{
    // page menu
    if($_GET['page'] == 'menu')
    {
        menu();
    }

    // page melaine
    elseif($_GET['page'] == 'melaine')
    {
        // ouverture de l'éditeur pour modification
        // le lien utilisé pour ouvrir l'éditeur contient un GET avec le numéro de l'article, mais pas le nom du fichier que le visiteur ne doit pas voir
        // GET, POST, cookies => navigation (utiles au visiteur)
        // sessions => action
        // c'est ici qu'on passe des GET aux sessions
        // on associe maintenant le numéro de l'article et le nom du fichier, l'article déjà existant inséré dans l'éditeur DOIT être celui qui sera modifié
        //
        if($_SESSION['admin'] == 1 && isset($_GET['action']) && $_GET['action'] == 'editor')
        {
            // modification
            // A MODIFIER! on a aussi besoin du nom du fichier,
            // infos à mettre dans la session!

            if(isset($_GET['article']) && is_numeric($_GET['article']) && $_GET['article'] > 0)
            {
                // obtenir le nom du fichier à l'aide du modèle
                $_SESSION['nomFichier'] = getFileName($_GET['page'], $_GET['article']);

                melaineEdit($_GET['article']);
            }
            // nouvel article
            else
            {
                // prévenir une hypothétique perte de donnée
                if(isset($_SESSION['nomFichier']))
                {
                    unset($_SESSION['nomFichier']);
                }

                melaineEdit(0);
            }
        }
        else
        {
            melaineVisitor();
        }
    }
    // page connexion au mode admin
    elseif($_GET['page'] == 'connexion')
    {
        connexion($secret);
    }
    // $_GET['page'] = n'importe quoi!
    else
    {
        menu();
    }
}

// actions en mode admin recharger une des pages principales
elseif($_SESSION['admin'] == 1 && isset($_GET['action']))
{
    if($_GET['action'] == 'nouveau_mdp')
    {
        changerMotDePasse($secret, $_GET['from']);
    }
    // extraction du contenu du dossier data
    else if($_GET['action'] == 'extraction')
    {
        require('controller/backup.php');
        extraction($_GET['from']);
    }
    // l'inverse, insertion des données d'une sauvegarde
    else if($_GET['action'] == 'insertion')
    {
        require('controller/backup.php');
        insertion($_GET['from']);
    }
    else
    {
        accueil();
    }
}

// renvoi ici par le .htaccess si lien mort ou sans http:// au début
elseif(isset($_GET['erreur']))
{
    //if($_GET['erreur'] == 404)
    //{
    //    echo('<p style="color: red;" >ERREUR 404<br/>Le lien sur lequel vous avez cliqué pointe vers un emplacement introuvable.<br />
    //      Ce n\'est pas votre faute. Vous pouvez éventuellement rechercher la page demandée avec votre moteur de recherche ou prévenir le responsable du site.</p>');
    //    echo('<p><a href="index.php" >Retour au site</a></p>');
    //}
    //else
    //{
        accueil();
        // accueil_404(); // à créer
    //}
}

// page d'accueil (adresse sans GET valable)
else
{
    accueil();
}
generated by cgit v1.2.3 (git 2.25.1) at 2025-08-19 07:55:12 +0000