开通博客赚积分
发布资源赚积分
分类

源码开发语言/平台
当前位置:首页 > 源码/资料 > Linux/Unix编程 > 网络 > 查看源码
cb.session.php
资源名称:com_comprofiler.zip [点击查看]
上传用户:stephen_wu
上传日期:2008-07-05
资源大小:1757k
文件大小:17k
源码类别:

网络

开发平台:

Unix_Linux

cb.session.php:源码内容
  1. <?php
  2. /**
  3. * @version $Id: cb.session.php 444 2008-04-24 18:25:39Z beat $
  4. * @package Community Builder
  5. * @subpackage cb.session.php
  6. * @author Beat
  7. * @copyright (C) 2008 Beat, www.joomlapolis.com
  8. * @license http://www.gnu.org/licenses/old-licenses/gpl-2.0.html GNU/GPL version 2
  9. */
  11. // no direct access
  12. if ( ! ( defined( '_VALID_CB' ) || defined( '_JEXEC' ) || defined( '_VALID_MOS' ) ) ) { die( 'Direct Access to this location is not allowed.' ); }
  15. /**
  16.  * CB 1.x SESSIONS functions:
  17.  */
  19. /**
  20.  * Checks that all globals are safe to known PHP and Zend bugs:
  21.  */
  22. function cbCheckSafeGlobals() {
  23. static $banned = array( '_files', '_env', '_get', '_post', '_cookie', '_server', '_session', 'globals' );
  24. $check = array( &$_FILES, &$_ENV, &$_GET, &$_POST, &$_COOKIE, &$_SERVER );
  25. for ( $i = 0, $n = count( $check ) ; $i < $n ; $i++ ) {
  26. foreach ( $check[$i] as $k => $v ) {
  27. // check for PHP globals injection bug and for PHP Zend_Hash_Del_Key_Or_Index bug:
  28. if ( in_array( strtolower( $k ), $banned ) || is_numeric( $k ) ) {
  29. die( sprintf( 'Illegal variable %s.', addslashes( htmlspecialchars( $k ) ) ) );
  30. }
  31. }
  32. }
  33. }
  34. /**
  35.  * Unregister super-globals if register_globals is set
  36.  */
  37. function cbUnregisterGlobals() {
  38. if ( ini_get( 'register_globals' ) ) {
  39. $check = array( &$_SERVER, &$_ENV, &$_FILES, &$_COOKIE, &$_POST, &$_GET );
  40. if ( isset( $_SESSION ) ) {
  41. array_unshift ( $check, $_SESSION );
  42. }
  43. for ( $i = 0, $n = count( $check ) ; $i < $n ; $i++ ) {
  44. foreach ($check[$i] as $key => $value) {
  45. if ( $key != 'GLOBALS' ) {
  46. unset( $GLOBALS[$key] );
  47. }
  48. }
  49. }
  50. }
  51. }
  53. /**
  54.  * CLASS implements a minimal database connection working with CB database when present
  55.  * and with MySql directly if not.
  56.  */
  57. class CBSessionStorage {
  58. var $_db;
  59. var $_table_prefix;
  60. var $_resource;
  61. var $_cursor;
  62. var $_sql;
  63. /**
  64.  * Constructor
  65.  *
  66.  * @return CBSessionStorage
  67.  */
  68. function CBSessionStorage( ) {
  69. }
  70. /**
  71.  * Connects to database layer or to mysql database
  72.  *
  73.  * @return CBSessionStorage   or $_CB_database
  74.  */
  75. function & connect() {
  76. if ( ! $this->_db ) {
  77. global $_CB_database;
  78. if ( $_CB_database ) {
  79. $this->_db =& $_CB_database;
  80. } else {
  81. $config = file_get_contents( dirname( __FILE__ ) . '/../../../../../configuration.php' );
  82. $db_host = $this->_parseConfig( $config, 'host' );
  83. $db_user = $this->_parseConfig( $config, 'user' );
  84. $db_password = $this->_parseConfig( $config, 'password' );
  85. $db_db = $this->_parseConfig( $config, 'db' );
  86. $this->_db = new CBSessionStorage();
  87. $this->_db->_resource = mysql_connect( $db_host, $db_user, $db_password ) or die( 'Session connect error!' );
  88. mysql_select_db( $db_db, $this->_db->_resource ) or die( 'Session database error!' );
  89. $this->_db->_table_prefix = $this->_parseConfig( $config, 'dbprefix' );
  90. }
  91. }
  92. return $this->_db;
  93. }
  94. /**
  95.  * Parses a mambo/joomla/compatibles configuration file content
  96.  * @access private
  97.  *
  98.  * @param  string  $config   Content of config file
  99.  * @param  string  $varName  Name of variable to fetch
  100.  * @return string            Content of variable or NULL
  101.  */
  102. function _parseConfig( $config, $varName ) {
  103. preg_match( '/$(?:mosConfig_)?' . $varName . 's*=s*'([^']*)'/', $config, $matches );
  104.         if ( isset($matches[1]) ) {
  105.          return $matches[1];
  106.         } else {
  107.          return null;
  108.         }
  109. }
  110. /**
  111. * Sets the SQL query string for later execution.
  112. *
  113. * This function replaces a string identifier $prefix with the
  114. * string held is the _table_prefix class variable.
  115. *
  116. * @param string $sql     The SQL query
  117. * @param int    $offset  The offset to start selection
  118. * @param int    $limit   The number of results to return
  119. * @param string $prefix  The common table prefix search for replacement string
  120. */
  121. function setQuery( $sql, $offset = 0, $limit = 0, $prefix='#__' ) {
  122. if ( $offset || $limit ) {
  123. $sql .= " LIMIT ";
  124. if ( $offset ) {
  125. $sql .= ( (int) $offset ) . ', ';
  126. }
  127. $sql .= ( (int) $limit );
  128. }
  129. $this->_sql = $this->replacePrefix( $sql, $prefix );
  130. }
  131. /**
  132.  * Replace $prefix with $this->_table_prefix (simplified method)
  133.  * @access private
  134.  *
  135.  * @param  string  $sql      SQL query
  136.  * @param  string  $prefix   Common table prefix
  137.  */
  138. function replacePrefix( $sql, $prefix = '#__' ) {
  139. return str_replace( $prefix, $this->_table_prefix, $sql );
  140. }
  141. /**
  142. * Execute the query
  144. * @param  string  the query (optional, it will use the setQuery one otherwise)
  145. * @return mixed A database resource if successful, FALSE if not.
  146. */
  147. function query( $sql = null ) {
  148. $this->_cursor = mysql_query( $this->_sql, $this->_resource );
  149. return $this->_cursor;
  150. }
  151. /**
  152. * Fetch a result row as an associative array
  153. *
  154. * @return array
  155. */
  156. function loadAssoc( ) {
  157. if ( ! ( $cur = $this->query() ) ) {
  158. $result = null;
  159. } else {
  160. $result = mysql_fetch_assoc( $cur );
  161. if ( ! $result ) {
  162. $result = null;
  163. }
  164. mysql_free_result( $cur );
  165. }
  166. return $result;
  167. }
  168. /**
  169. * Get a database escaped string
  170. *
  171. * @param  string  $text
  172. * @return string
  173. */
  174. function getEscaped( $text ) {
  175. return mysql_real_escape_string( $text, $this->_resource );
  176. }
  177. /**
  178. * Get a quoted database escaped string
  179. *
  180. * @param  string  $text
  181. * @return string
  182. */
  183. function Quote( $text ) {
  184. return ''' . $this->getEscaped( $text ) . ''';
  185. }
  186. /**
  187. * Quote an identifier name (field, table, etc)
  188. *
  189. * @param  string  $s  The name
  190. * @return string      The quoted name
  191. */
  192. function NameQuote( $s ) {
  193. return '`' . $s . '`';
  194. }
  195. }
  197. /**
  198.  * This class implements CB independant database-based scalable cookies-only-based secure sessions.
  199.  *
  200.  */
  201. class CBSession {
  202. var $_session_id = null;
  203. var $_session_var = null;
  204. var $_cookie_name = 'cb_web_session';
  205. var $_cookie_verify = 'cb_web_session_verify';
  206. var $_life_time = null;
  207. var $_sessionRecord = null;
  208. var $_mode;
  209. /**
  210.  * Mini-db
  211.  * @var CBSessionStorage
  212.  */
  213. var $_db = null;
  214. /**
  215.  * Constructor
  216.  * @access private
  217.  * 
  218.  * @param  string     $mode  'cookie' for most secure way (requires cookies enabled), 'sessionid': set id by session
  219.  * @return CBSession
  220.  */
  221. function CBSession( $mode = 'cookie' ) {
  222. $this->_mode = $mode;
  223. // Read the maxlifetime setting from PHP:
  224. $this->_life_time = max( get_cfg_var( 'session.gc_maxlifetime' ), 43200 ); // 12 hours minimum
  225. $dbConnect = new CBSessionStorage();
  226. $this->_db = $dbConnect->connect();
  227. }
  228. /**
  229.  * Gets singleton
  230.  *
  231.  * @param  string     $mode  'cookie' for most secure way (requires cookies enabled), 'sessionid': set id by session
  232.  * @return CBSession
  233.  */
  234. function & getInstance( $mode = 'cookie' ) {
  235. static $session = array();
  236. if ( ! isset( $session[$mode] ) ) {
  237. $session[$mode] = new CBSession( $mode );
  238. }
  239. return $session[$mode];
  240. }
  241. /**
  242.  * session_start() creates a session or resumes the current one based on the current session id
  243.  * that's being passed via a cookie.
  244.  *
  245.  * If you want to use a named session, you must call session_name() before calling session_start().
  246.  *
  247.  * session_start() will register internal output handler for URL rewriting when trans-sid is enabled.
  248.  * If a user uses ob_gzhandler or like with ob_start(), the order of output handler is important for proper output.
  249.  * For example, user must register ob_gzhandler before session start.
  250.  *
  251.  * @param  string  $mode   'cookie' for most secure way (requires cookies enabled), 'sessionid': set id by session
  252.  * @return bool      True: ok, False: already started
  253.  */
  254. function session_start( $_noNewSession = false ) {
  256. if ( $this->_session_var !== null ) {
  257. // session already started:
  258. return false;
  259. }
  260. if ( $this->_mode == 'cookie' ) {
  261. global $_COOKIE;
  262. if ( isset( $_COOKIE[$this->_cookie_name] ) ) {
  263. // session existing in browser:
  264. $session_id = substr( $_COOKIE[$this->_cookie_name], 0, 32 );
  265. } else {
  266. $session_id = null;
  267. }
  268. } elseif ( $this->_mode == 'sessionid' ) {
  269. $session_id = $this->_session_id;
  270. } else {
  271. return false;
  272. }
  274. if ( $session_id ) {
  275. $session_data = $this->read( $session_id );
  276. if ( $session_data ) {
  277. // session found in database:
  278. $session_var = unserialize( $session_data );
  279. if ( ( $session_var !== false ) && ( $this->_validateSession( $session_id, $session_data ) ) ) {
  280. // valid session has been retrieved:
  281. $this->_session_id = $session_id;
  282. $this->_session_var = $session_var;
  283. return true;
  284. }
  285. }
  286. }
  287. if ( $_noNewSession ) {
  288. return false;
  289. }
  290. // no valid session has been found: create a new one:
  291. $this->_session_id = $this->generateRandSessionid( 32 );
  292. $this->_session_var = array( 'cbsessions.verify' => $this->generateRandSessionid( 32 ) );
  293. $this->_validateSession(); // set the session
  294. if ( $this->_mode == 'cookie' ) {
  295. $this->_sendSessionCookies();
  296. }
  297. return true;
  298. }
  299. /**
  300.  * Sends out the session cookies
  301.  * @access private
  302.  */
  303. function _sendSessionCookies() {
  304. header('P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM"'); // needed for IE6 to accept this cookie in higher security setting.
  305. $sp = session_get_cookie_params();
  306. if ( isset( $sp['secure'] ) ) {
  307. if ( isset( $sp['httponly'] ) ) {
  308. // php >= 5.2.0:
  309. setcookie( $this->_cookie_name, $this->_session_id, false, $sp['path'], $sp['domain'], $sp['secure'], true );
  310. } else {
  311. // php < 5.2.0, but > 4.0.4:
  312. setcookie( $this->_cookie_name, $this->_session_id, false, $sp['path'], $sp['domain'], $sp['secure'] );
  313. }
  314. } else {
  315. setcookie( $this->_cookie_name, $this->_session_id, false, $sp['path'], $sp['domain'] );
  316. }
  317. // setcookie( $this->_cookie_name, $this->_session_id, false, '/' );
  318. }
  319. /**
  320.  * Regenerates a new session id, keeping session data
  321.  *
  322.  */
  323. function session_regenerate( ) {
  324. if ( ! $this->_session_id ) {
  325. // tries to load existing session:
  326. $this->session_start( true );
  327. }
  328. if ( $this->_session_id ) {
  329. $this->destroy( $this->_session_id );
  330. }
  331. $this->_session_id = $this->generateRandSessionid( 32 );
  332. $this->_sendSessionCookies();
  333. }
  334. /**
  335.  * End the current session and store session data.
  336.  *
  337.  * @return bool
  338.  */
  339. function session_write_close( ) {
  340. // store:
  341. if ( ! $this->write( $this->_session_id, serialize( $this->_session_var ) ) ) {
  342. die( 'Session write error!' );
  343. }
  344. // timeout old sessions:
  345. $this->gc();
  346. return true;
  347. }
  348. /**
  349.  * Gets value of the session variable, change it with $this->set()
  350.  * (not a reference, use $this->get_reference() for reference)
  351.  *
  352.  * @param  string  $name
  353.  * @return mixed          NULL if not set
  354.  */
  355. function get( $name ) {
  356. if ( isset( $this->_session_var[$name] ) ) {
  357. return $this->_session_var[$name];
  358. } else {
  359. $null = null;
  360. return $null;
  361. }
  362. }
  363. /**
  364.  * Sets a value to the session variable $name (Not a reference)
  365.  *
  366.  * @param  string  $name
  367.  * @param  mixed   $value
  368.  */
  369. function set( $name, $value ) {
  370. $this->_session_var[$name] = $value;
  371. }
  372. /**
  373.  * Gets a reference to the session variable (which can be changed)
  374.  *
  375.  * @param  string  $name
  376.  * @return mixed          If empty/new: NULL
  377.  */
  378. function & getReference( $name ) {
  379. if ( ! isset( $this->_session_var[$name] ) ) {
  380. $this->_session_var[$name] = null;
  381. }
  382. return $this->_session_var[$name];
  383. }
  384. /**
  385.  * Unset current session
  386.  *
  387.  * @return bool           True success, False failed
  388.  */
  389. function session_unset() {
  390. if ( $this->_session_id ) {
  391. $this->destroy( $this->_session_id );
  392. $this->_session_id = null;
  393. $this->_session_var = null;
  394. }
  395. }
  396. /**
  397.  * Sets/Gets current session id for get (warning: lower security)
  398.  *
  399.  * @param  string  $id  new     if change
  400.  * @return string       current if no change ( $id = null ) if session started already
  401.  */
  402. function session_id( $id = null ) {
  403. if ( $id == null ) {
  404. if ( $this->_session_var !== null ) {
  405. // session started, can return id:
  406. return $this->_session_id;
  407. } else {
  408. return '';
  409. }
  410. } else {
  411. $current = $this->_session_id;
  412. if ( $id ) {
  413. $this->_session_id = $id;
  414. }
  415. return $current;
  416. }
  417. }
  418. /**
  419.  * Generates a random session_id of chars and numbers
  420.  * (Similar to cbMakeRandomString)
  421.  * @access private
  422.  *
  423.  * @param  int    $stringLength
  424.  * @return string
  425.  */
  426. function generateRandSessionid( $stringLength = 32 ) {
  427. $chars = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';
  428. $len = strlen( $chars );
  429. $rndString = '';
  430. mt_srand( 10000000 * (double) microtime() );
  431. for ( $i = 0; $i < $stringLength; $i++ ) {
  432. $rndString .= $chars[mt_rand( 0, $len - 1 )];
  433. }
  434. return $rndString;
  435. }
  436. /**
  437.  * Validate the session id with internal records of the browser and check values.
  438.  * @access private
  439.  *
  440.  * @return bool
  441.  */
  442. function _validateSession( ) {
  443. global $_COOKIE;
  445. // check if browser user agent has changed:
  446. if ( isset( $_SERVER['HTTP_USER_AGENT'] ) ) {
  447. $browser = $this->get( 'cbsession.agent' );
  448. if ( $browser === null ) {
  449. $this->set( 'cbsession.agent', $_SERVER['HTTP_USER_AGENT']);
  450. } elseif ( $_SERVER['HTTP_USER_AGENT'] !== $browser ) {
  451. return false;
  452. }
  453. }
  454. /* PROBLEM: COMMENTED OUT FOR NOW:
  455. // check if client IP received (could be fake through proxy) matches:
  456. if ( $this->_getClientIp() != $this->_sessionRecord['client_ip'] ) {
  457. return false;
  458. }
  460. // check if initial session connection had no proxy and now suddenly we have one:
  461. $incoming_ip = $this->_getIcomingIp();
  462. if ( ( $incoming_ip != $this->_sessionRecord['client_ip'] )
  463. && ( $this->_sessionRecord['incoming_ip'] == $this->_sessionRecord['client_ip'] ) ) 
  464. {
  465. return false;
  466. }
  467. */
  468. // Things seem to match, check the validation cookie: //TBD later
  469. return true;
  470. }
  471. function _getIcomingIp() {
  472. global $_SERVER;
  474. return $_SERVER['REMOTE_ADDR'];
  475. }
  476. function _getClientIp() {
  477. global $_SERVER;
  479. if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
  480. $forwarded_ip_array = explode(',',$_SERVER['HTTP_X_FORWARDED_FOR']);
  481. $client_ip = $forwarded_ip_array[count($forwarded_ip_array) - 1];
  482. } else {
  483. $client_ip = $_SERVER['REMOTE_ADDR'];
  484. }
  485. return $client_ip;
  486. }
  487. /**
  488.  * Reads session record from database
  489.  *
  490.  * @param  string  $id
  491.  * @return string       or NULL if record innexistant or expired
  492.  */
  493. function read( $id ) {
  494. // Fetch session data from the selected database
  495. $sql = 'SELECT * FROM `#__comprofiler_sessions`'
  496. . ' WHERE `session_id` = ' . $this->_db->Quote( $id )
  497. . ' AND `expiry_time` >= UNIX_TIMESTAMP()'
  498. ;
  499. $this->_db->setQuery( $sql );
  500. $this->_sessionRecord = $this->_db->loadAssoc();
  501. if ( $this->_sessionRecord !== null ) {
  502. return $this->_sessionRecord['session_data'];
  503. }
  504. return null;
  505. }
  506. /**
  507.  * Writes session record to database
  508.  *
  509.  * @param  string  $id
  510.  * @param  string  $data
  511.  * @return bool
  512.  */
  513. function write( $id, $data ) {
  514. global $_CB_framework;
  516. // Prepare new values:
  517. $v = array();
  518. $v['session_id'] = $this->_db->Quote( $id );
  519. $v['session_data'] = $this->_db->Quote( $data );
  520. $v['expiry_time'] = 'UNIX_TIMESTAMP()+' . (int) $this->_life_time;
  521. if ( $_CB_framework ) {
  522. $v['ui'] = (int) $_CB_framework->getUi();
  523. if ( $_CB_framework->myId() ) {
  524. $v['username'] = $this->_db->Quote( $_CB_framework->myUsername() );
  525. $v['userid'] = (int) $_CB_framework->myId();
  526. }
  527. }
  529. if ( $this->_sessionRecord !== null ) {
  530. // UPDATE existing:
  531. $sets = array();
  532. foreach ( $v as $col => $escapedVal ) {
  533. $sets[] = $this->_db->NameQuote( $col ) . ' = ' . $escapedVal;
  534. }
  535. $where = array_shift( $sets );
  536. $sql = 'UPDATE `#__comprofiler_sessions` SET ' . implode( ', ', $sets )
  537. . ' WHERE ' . $where;
  538. $this->_db->setQuery( $sql );
  539. $okUpdate = $this->_db->query();
  540. if ( $okUpdate ) {
  541. return $okUpdate;
  542. }
  543. }
  544. // INSERT new: add IP address for first record:
  545. $v['client_ip'] = $this->_db->Quote( $this->_getClientIp() );
  546. $v['incoming_ip'] = $this->_db->Quote( $this->_getIcomingIp() );
  548. $columns = array();
  549. $escValues = array();
  550. foreach ( $v as $col => $escapedVal ) {
  551. $columns[] = $this->_db->NameQuote( $col );
  552. $escValues[] = $escapedVal;
  553. }
  554. $sql = 'INSERT INTO `#__comprofiler_sessions`'
  555. . ' (' . implode( ',', $columns ) . ')'
  556. . ' VALUES(' . implode( ',', $escValues ) . ')'
  557. ;
  558. $this->_db->setQuery( $sql );
  559. return $this->_db->query();
  560. }
  561. /**
  562.  * Removes session $id from database
  563.  *
  564.  * @param  string $id
  565.  * @return bool
  566.  */
  567. function destroy( $id ) {
  568. $sql = 'DELETE FROM `#__comprofiler_sessions`'
  569. . ' WHERE `session_id` = ' . $this->_db->Quote( $id )
  570. ;
  571. $this->_db->setQuery( $sql );
  572. return $this->_db->query();
  573. }
  574. /**
  575.  * Garbage Collection
  576.  * Delete all records who have passed the expiration time
  577.  *
  578.  * @return bool
  579.  */
  580. function gc() {
  581. $sql = 'DELETE FROM `#__comprofiler_sessions` WHERE `expiry_time` < UNIX_TIMESTAMP();';
  582. $this->_db->setQuery( $sql );
  583. return $this->_db->query();
  584. }
  585. }
  587. // ----- NO MORE CLASSES OR FUNCTIONS PASSED THIS POINT -----
  588. // Post class declaration initialisations
  589. // some version of PHP don't allow the instantiation of classes
  590. // before they are defined
  592. ?>