Zikula_Core
[ class tree: Zikula_Core ] [ index: Zikula_Core ] [ all elements ]
Packages:
Zikula 1.0.1
axmls
PHPLayersMenu
PHPMailer
phpSniff
pnForm
PostNuke_Core
RC4Crypt
SafeHTML
Services_JSON
SimplePie
Smarty
Xanthia_Templating_Environment
XML_HTMLSax3
ZikulaTemplate_Plugins
Zikula_Core
Zikula_Docs
Zikula_System_Modules
Zikula_Template_Plugins
Zikula_Themes
Zikula_Value_Addons

Source for file SessionUtil.class.php

Documentation is available at SessionUtil.class.php

  1. <?php
  2. /**
  3.  * Zikula Application Framework
  4.  *
  5.  * @copyright (c) 2001, Zikula Development Team
  6.  * @link http://www.zikula.org
  7.  * @version $Id: SessionUtil.class.php 24342 2008-06-06 12:03:14Z markwest $
  8.  * @license GNU/GPL - http://www.gnu.org/copyleft/gpl.html
  9.  * @package Zikula_Core
  10.  * @subpackage SessionUtil
  11. */
  12.  
  13.  
  14. /**
  15.  * SessionUtil
  16.  *
  17.  * @package Zikula_Core
  18.  * @subpackage SessionUtil
  19.  */
  20. class SessionUtil
  21. {
  22.     /**
  23.      * Set up session handling
  24.      * Set all PHP options for Zikula session handling
  25.      *
  26.      * @return void 
  27.      */
  28.     function _setup()
  29.     {
  30.         $path pnGetBaseURI();
  31.         if (empty($path)) {
  32.             $path '/';
  33.         elseif (substr($path-11!= '/'{
  34.             $path .= '/';
  35.         }
  36.  
  37.         $host pnServerGetVar('HTTP_HOST');
  38.  
  39.         if (($pos=strpos($host':')) !== false{
  40.             $host substr($host0$pos);
  41.         }
  42.  
  43.         // PHP configuration variables
  44.         ini_set('session.use_trans_sid'0);         // Stop adding SID to URLs
  45.         @ini_set('url_rewriter.tags''');           // some environments dont allow this value to be set causing an error that prevents installation
  46.         ini_set('session.serialize_handler''php')// How to store data
  47.         ini_set('session.use_cookies'1);           // Use cookie to store the session ID
  48.         ini_set('session.auto_start'1)// Auto-start session
  49.  
  50.         ini_set('session.name'SessionUtil::getCookieName());      // Name of our cookie
  51.  
  52.         // Set lifetime of session cookie
  53.         $seclevel pnConfigGetVar('seclevel');
  54.         switch ($seclevel{
  55.             case 'High':
  56.                 // Session lasts duration of browser
  57.                 $lifetime 0;
  58.                 // Referer check
  59.                 // ini_set('session.referer_check', $host.$path);
  60.                 ini_set('session.referer_check'$host);
  61.                 break;
  62.             case 'Medium':
  63.                 // Session lasts set number of days
  64.                 $lifetime pnConfigGetVar('secmeddays'86400;
  65.                 break;
  66.             case 'Low':
  67.             default :
  68.                 // Session lasts unlimited number of days (well, lots, anyway)
  69.                 // (Currently set to 25 years)
  70.                 $lifetime 788940000;
  71.                 break;
  72.         }
  73.         ini_set('session.cookie_lifetime'$lifetime);
  74.  
  75.         // domain and path settings for session cookie
  76.         // if (pnConfigGetVar('intranet') == false) {
  77.         // Cookie path
  78.         ini_set('session.cookie_path'$path);
  79.  
  80.         // Garbage collection
  81.         ini_set('session.gc_probability'pnConfigGetVar('gc_probability'));
  82.         ini_set('session.gc_divisor'10000);
  83.         ini_set('session.gc_maxlifetime'pnConfigGetVar('secinactivemins'60)// Inactivity timeout for user sessions
  84.  
  85.         // change session hash length according to PHP version
  86.         // (uncommend this line after 0.8.0.0 is released - ini_set('session.hash_function', (((float)phpversion() >= 5) ? 1 : 0));
  87.         ini_set('session.hash_function'0);
  88.  
  89.         // Set custom session handlers
  90.         ini_set('session.save_handler''user');
  91.         if (pnConfigGetVar('sessionstoretofile')) {
  92.             ini_set('session.save_path'pnConfigGetVar('sessionsavepath'));
  93.         }
  94.         // PHP 5.2 workaround
  95.         if (version_compare(phpversion()'5.2.0''>=')) {
  96.             register_shutdown_function('session_write_close');
  97.         }
  98.         // Do not call any of these functions directly.  Marked as private with _
  99.         session_set_save_handler('_SessionUtil__Start',
  100.                                  '_SessionUtil__Close',
  101.                                  '_SessionUtil__Read',
  102.                                  '_SessionUtil__Write',   /* use session_write_close(); */
  103.                                  '_SessionUtil__Destroy'/* use session_destroy(); */
  104.                                  '_SessionUtil__GC');
  105.     }
  106.  
  107.  
  108.     /**
  109.      * Initialise session
  110.      *
  111.      * @return bool 
  112.      */
  113.     function initialize()
  114.     {
  115.         SessionUtil::_setup();
  116.  
  117.         // First thing we do is ensure that there is no attempted pollution
  118.         // of the session namespace
  119.         if (ini_get('register_globals')) {
  120.             foreach($GLOBALS as $k => $v{
  121.                 if (substr($k04== 'PNSV'{
  122.                     return false;
  123.                 }
  124.             }
  125.         }
  126.  
  127.         // create IP finger print
  128.         $current_ipaddr '';
  129.         $_REMOTE_ADDR pnServerGetVar('REMOTE_ADDR');
  130.         $_HTTP_X_FORWARDED_FOR pnServerGetVar('HTTP_X_FORWARDED_FOR');
  131.  
  132.         if (pnConfigGetVar('sessionipcheck')) {
  133.             /* -- feature for after 0.8 release - drak
  134.             // todo - add dropdown option for sessionipcheckmask for /32, /24, /16 CIDR
  135.  
  136.             $ipmask = pnConfigGetVar('sessionipcheckmask');
  137.             if ($ipmask <> 32) {
  138.                 // since we're not a /32 we need to handle in case multiple ips returned
  139.                 if ($_HTTP_X_FORWARDED_FOR && strstr($_HTTP_X_FORWARDED_FOR, ', ')) {
  140.                     $_ips = explode(', ', $_HTTP_X_FORWARDED_FOR);
  141.                     $_HTTP_X_FORWARDED_FOR = $_ips[0];
  142.                 }
  143.  
  144.                 // apply CIDR mask to allow IP checks on clients assigned
  145.                 // dynamic IP addresses - e.g. A O *cough* L
  146.                 if ($ipmask == 24) {
  147.                     $_REMOTE_ADDR = preg_replace('/[^.]+.$/', '*', $_REMOTE_ADDR);
  148.                     $_HTTP_X_FORWARDED_FOR = ($_HTTP_X_FORWARDED_FOR ? preg_replace('/[^.]+.$/', '*', $_HTTP_X_FORWARDED_FOR) : '');
  149.                 } else if ($ipmask == 16) {
  150.                     $_REMOTE_ADDR = preg_replace('/[0-9]*.\.[^.]+.$/', '*', $_REMOTE_ADDR);
  151.                     $_HTTP_X_FORWARDED_FOR = ($_HTTP_X_FORWARDED_FOR ? preg_replace('/[0-9]*.\.[^.]+.$/', '*', $fullhost) : '');
  152.                 } else { // must be a /32 CIDR
  153.                     null; // nothing to do
  154.                 }
  155.             }
  156.             */
  157.         }
  158.  
  159.         // create the ip fingerprint
  160.         $current_ipaddr md5($_REMOTE_ADDR.$_HTTP_X_FORWARDED_FOR);
  161.  
  162.         // start session check expiry and ip fingerprint if required
  163.         if (session_start(&& isset($GLOBALS['_PNSession']['obj']&& $GLOBALS['_PNSession']['obj']{
  164.             // check if session has expired or not
  165.             $now time();
  166.             $inactive ($now - (int)(pnConfigGetVar('secinactivemins'60));
  167.             $daysold  ($now - (int)(pnConfigGetVar('secmeddays'86400));
  168.             $lastused strtotime ($GLOBALS['_PNSession']['obj']['lastused']);
  169.             $rememberme SessionUtil::getVar('rememberme');
  170.             $uid $GLOBALS['_PNSession']['obj']['uid'];
  171.             $ipaddr $GLOBALS['_PNSession']['obj']['ipaddr'];
  172.  
  173.             // IP check
  174.             if (pnConfigGetVar('sessionipcheck'false)) {
  175.                 if ($ipaddr !== $current_ipaddr{
  176.                     session_destroy();
  177.                     return false;
  178.                 }
  179.             }
  180.  
  181.             switch (pnConfigGetVar('seclevel')) {
  182.                 case 'Low':
  183.                     // Low security - users stay logged in permanently
  184.                     //                no special check necessary
  185.                     break;
  186.                 case 'Medium':
  187.                     // Medium security - delete session info if session cookie has
  188.                     // expired or user decided not to remember themself and inactivity timeout
  189.                     // OR max number of days have elapsed without logging back in
  190.                     if ((!$rememberme && $lastused $inactive|| ($lastused $daysold|| ($uid == '0' && $lastused $inactive))
  191.                     {
  192.                         SessionUtil::expire();
  193.                     }
  194.                     break;
  195.                 case 'High':
  196.                 default:
  197.                     // High security - delete session info if user is inactive
  198.                     if ($rememberme && ($lastused $inactive)) {
  199.                         SessionUtil::expire();
  200.                     }
  201.                     break;
  202.             }
  203.         else {
  204.             // *must* regenerate new session otherwise the default sessid will be
  205.             // taken from any session cookie that was submitted (bad bad bad)
  206.             SessionUtil::regenerate(true);
  207.             SessionUtil::_createNew(session_id()$current_ipaddr);
  208.         }
  209.  
  210.         if (isset($_SESSION['_PNSession']['obj'])) {
  211.             unset($_SESSION['_PNSession']['obj']);
  212.         }
  213.  
  214.         return true;
  215.     }
  216.  
  217.  
  218.     /**
  219.      * Create a new session
  220.      *
  221.      * @access private
  222.      * @param sessid the session ID
  223.      * @param ipaddr the IP address of the host with this session
  224.      *
  225.      * @return bool 
  226.      */
  227.     function _createNew($sessid$ipaddr)
  228.     {
  229.         $now date('Y-m-d H:i:s'time());
  230.         $obj array('sessid'    => $sessid,
  231.                      'ipaddr'    => $ipaddr,
  232.                      'uid'       => 0,
  233.                      'lastused'  => $now);
  234.         $GLOBALS['_PNSession']['obj'$obj;
  235.         $GLOBALS['_PNSession']['new'true;
  236.         // Generate a random number, used for some authentication (using prime numer bounds)
  237.         SessionUtil::setVar('rand'RandomUtil::getString(3240falsetruetruefalsetruetruetrue));
  238.         // write hash of useragent into the session for later validation
  239.         SessionUtil::setVar('useragent'sha1(pnServerGetVar('HTTP_USER_AGENT')));
  240.  
  241.         // init status & error message arrays
  242.         SessionUtil::setVar('_PNErrorMsg'array());
  243.         SessionUtil::setVar('_PNStatusMsg'array());
  244.  
  245.         return true;
  246.     }
  247.  
  248.  
  249.     /**
  250.      * Get a session variable
  251.      *
  252.      * @param sring $name of the session variable to get
  253.      * @param string $default the default value to return if the requested session variable is not set
  254.      * @param autocreate $autocreate whether or not to autocreate the supplied path (optional) (default=true)
  255.      * @param overwriteExistingVar $overwriteExistingVar whether or not to overwrite existing/set variable entries which the given path requires to be arrays (optional) (default=false)
  256.      * @return string session variable requested
  257.      */
  258.     function getVar($name$default=false$path='/'$autocreate=true$overwriteExistingVar=false)
  259.     {
  260.         if ($path == '/' || $path === ''{
  261.             if (isset($_SESSION['PNSV' $name])) {
  262.                 return $_SESSION['PNSV' $name];
  263.             }
  264.         else {
  265.             $parent =SessionUtil::_resolvePath ($path$autocreate$overwriteExistingVar);
  266.             if ($parent === false// path + autocreate or overwriteExistingVar Error
  267.                 return false;
  268.             }
  269.  
  270.             if (isset($parent[$name])) {
  271.                 return $parent[$name];
  272.             }
  273.             else
  274.             if ($autocreate{
  275.                 $parent[$name$default;
  276.             }
  277.         }
  278.  
  279.         return $default;
  280.     }
  281.  
  282.  
  283.     /**
  284.      * Set a session variable
  285.      *
  286.      * @param string $name of the session variable to set
  287.      * @param value $value to set the named session variable
  288.      * @param path $path to traverse to reach the element we wish to return (optional) (default='/')
  289.      * @param autocreate $autocreate whether or not to autocreate the supplied path (optional) (default=true)
  290.      * @param overwriteExistingVar $overwriteExistingVar whether or not to overwrite existing/set variable entries which the given path requires to be arrays (optional) (default=false)
  291.      * @return bool true upon success, false upon failure
  292.      */
  293.     function setVar($name$value$path='/'$autocreate=true$overwriteExistingVar=false)
  294.     {
  295.         global $PNConfig;
  296.  
  297.         if (($name == 'errormsg' || $name == 'statusmsg' || $name == '_PNErrorMsg' || $name == '_PNStatusMsg'&& !is_array($value)) {
  298.             if ($PNConfig['System']['development']{
  299.                 LogUtil::log ('This use of SessionUtil::setVar() is no longer valid ... please use the LogUtil API to manipulate status/error messages');
  300.             }
  301.             if ($name == '_PNErrorMsg' || $name == 'errormsg'{
  302.                 return LogUtil::registerError ($value);
  303.             }
  304.             if ($name == '_PNStatusMsg' || $name == 'statusmsg'{
  305.                 return LogUtil::registerStatus ($value);
  306.             }
  307.         }
  308.  
  309.         // temporary fix for bug #3770
  310.         // $value = str_replace('\\', '/', $value);
  311.  
  312.         // cause session on regeration on uid change
  313.         if ($name == 'uid'{
  314.             SessionUtil::regenerate();
  315.         }
  316.  
  317.         if ($path == '/' || $path === ''{
  318.             $_SESSION['PNSV' $name$value;
  319.         else {
  320.             $parent =SessionUtil::_resolvePath ($path$autocreate$overwriteExistingVar);
  321.             if ($parent === false// path + autocreate or overwriteExistingVar Error
  322.                 return false;
  323.             }
  324.  
  325.             $parent[$name$value;
  326.         }
  327.  
  328.         return true;
  329.     }
  330.  
  331.  
  332.     /**
  333.      * Delete a session variable
  334.      *
  335.      * @param string $name of the session variable to delete
  336.      * @param string $default the default value to return if the requested session variable is not set
  337.      * @param path $path to traverse to reach the element we wish to return (optional) (default='/')
  338.      * @return bool true
  339.      */
  340.     function delVar($name$default=false$path='/')
  341.     {
  342.         $value false;
  343.  
  344.         if ($path == '/' || $path === ''{
  345.             if (isset($_SESSION['PNSV' $name])) {
  346.                 $value $_SESSION['PNSV' $name];
  347.                 unset($_SESSION['PNSV' $name]);
  348.             else {
  349.                 $value $default;
  350.             }
  351.         else {
  352.             $parent =SessionUtil::_resolvePath ($pathfalsefalse);
  353.             if ($parent === false// path + autocreate or overwriteExistingVar Error
  354.                 return false;
  355.             }
  356.  
  357.             if (isset($parent[$name])) {
  358.                 $value $parent[$name];
  359.                 unset($parent[$name]);
  360.             else {
  361.                 $value $default;
  362.             }
  363.         }
  364.  
  365.         // unset if registerglobals are on
  366.         unset($GLOBALS['PNSV' $name]);
  367.  
  368.         return $value;
  369.     }
  370.  
  371.  
  372.     /**
  373.      * Traverse the session data structure according to the path given and return a reference to last object in the path
  374.      *
  375.      * @access private
  376.      * @param path $path to traverse to reach the element we wish to return
  377.      * @param autocreate $autocreate whether or not to autocreate the supplied path (optional) (default=true)
  378.      * @param overwriteExistingVar $overwriteExistingVar whether or not to overwrite existing/set variable entries which the given path requires to be arrays (optional) (default=false)
  379.      * @return mixed array upon successful location/creation of path element(s), false upon failure
  380.      */
  381.     function &_resolvePath ($path$autocreate=true$overwriteExistingVar=false)
  382.     {
  383.         // now traverse down the path and set the var
  384.         if ($path == '/' || !$path{
  385.             return LogUtil::registerError ('Invalid Path received');
  386.         }
  387.  
  388.         // remove leading '/' so that explode doesn't deliver an empty 1st element
  389.         if (strpos($path'/'=== 0{
  390.             $path substr ($path1);
  391.         }
  392.  
  393.         $c 0;
  394.         $parent =$_SESSION;
  395.         $paths explode ('/'$path);
  396.         foreach ($paths as $p{
  397.             $pFixed ($c==?  'PNSV' $p $p);
  398.             if (!isset($parent[$pFixed])) {
  399.                 if ($autocreate{
  400.                     $parent[$pFixedarray();
  401.                     $parent =$parent[$pFixed];
  402.                 }
  403.                 else {
  404.                     return false;
  405.                 }
  406.             else {
  407.                 if (!is_array($parent[$pFixed])) {
  408.                     if ($overwriteExistingVar{
  409.                         $parent[$pFixedarray();
  410.                     else {
  411.                         return false;
  412.                     }
  413.                 }
  414.                 $parent =$parent[$pFixed];
  415.             }
  416.             $c++;
  417.         }
  418.  
  419.         return $parent;
  420.     }
  421.  
  422.     /**
  423.      * Session required
  424.      * Starts a session or terminates loading.
  425.      *
  426.      */
  427.     function requireSession()
  428.     {
  429.         // check if we need to create a session
  430.         if (!session_id()) {
  431.             // Start session
  432.             if (!SessionUtil::initialize()) {
  433.                 // session initialization failed so display templated error
  434.                 header('HTTP/1.1 503 Service Unavailable');
  435.                 if (file_exists('config/templates/sessionfailed.htm')) {
  436.                     Loader::requireOnce('config/templates/sessionfailed.htm');
  437.                 else {
  438.                     Loader::requireOnce('includes/templates/sessionfailed.htm');
  439.                 }
  440.                 // terminate execution
  441.                 pnShutDown();
  442.             }
  443.         }
  444.     }
  445.  
  446.     /**
  447.      * Let session expire nicely
  448.      *
  449.      * @return void 
  450.      */
  451.     function expire()
  452.     {
  453.         if (SessionUtil::getVar('uid'== '0'{
  454.             // no need to do anything for guests without sessions
  455.             if (pnConfigGetVar('anonymoussessions'== '0'return;
  456.  
  457.             // no need to display expiry for anon users with sessions since it's invisible anyway
  458.             // handle expired sessions differently
  459.             SessionUtil::_createNew(session_id()$GLOBALS['_PNSession']['obj']['ipaddr']);
  460.             // session is not new, remove flag
  461.             unset($GLOBALS['_PNSession']['new']);
  462.             SessionUtil::regenerate(true);
  463.             return;
  464.         }
  465.  
  466.         // for all logged in users with session destroy session and set flag
  467.         session_destroy();
  468.         $GLOBALS['_PNSession']['expired'true;
  469.     }
  470.  
  471.  
  472.     /**
  473.      * Check if a session has expired or not
  474.      *
  475.      * @return bool 
  476.      */
  477.     function hasExpired()
  478.     {
  479.         if (isset($GLOBALS['_PNSession']['expired']&& $GLOBALS['_PNSession']['expired']{
  480.             unset($GLOBALS['_PNSession']);
  481.             return true;
  482.         }
  483.  
  484.         return false;
  485.     }
  486.  
  487.  
  488.     /**
  489.      * regerate session id
  490.      *
  491.      * @param bool $force default false force regeneration
  492.      * @return void 
  493.      *
  494.      */
  495.     function regenerate($force=false)
  496.     {
  497.         // only regenerate if set in admin
  498.         if ($force == false{
  499.             if (!pnConfigGetVar('sessionregenerate'|| pnConfigGetVar('sessionregenerate'== 0{
  500.                 // there is no point changing a newly generated session.
  501.                 if (isset($GLOBALS['_PNSession']['new']&& $GLOBALS['_PNSession']['new'== true{
  502.                     return;
  503.                 }
  504.                 return;
  505.             }
  506.         }
  507.  
  508.         // dont allow multiple regerations
  509.         if (isset($GLOBALS['_PNSession']['regenerated']&& $GLOBALS['_PNSession']['regenerated'== true{
  510.             return;
  511.         }
  512.  
  513.         $GLOBALS['_PNSession']['sessid_old'session_id();    // save old session id
  514.  
  515.         if (session_regenerate_id()) {
  516.             // need to handle php < 4.3.3 bug that doesnt issue
  517.             // session cookie to browser after regeneration [drak]
  518.             if (!version_compare(phpversion()'4.3.3''>=')) {
  519.                 setcookie(session_name()session_id()time(ini_get('session.cookie_lifetime')ini_get('session.cookie_path')ini_get('session.cookie_domain')(pnServerGetProtocol(== 'https' true false));
  520.             }
  521.         }
  522.  
  523.         $GLOBALS['_PNSession']['obj']['sessid'session_id()// commit new sessid
  524.         $GLOBALS['_PNSession']['regenerated'true;           // flag regeneration
  525.         return;
  526.     }
  527.  
  528.  
  529.     /**
  530.      * Regenerate session according to probability set by admin
  531.      *
  532.      */
  533.     function random_regenerate()
  534.     {
  535.         if (!pnConfigGetVar('sessionrandregenerate')) {
  536.             return;
  537.         }
  538.  
  539.         $chance 100 pnConfigGetVar('sessionregeneratefreq');
  540.         $a rand(0$chance);
  541.         $b rand(0$chance);
  542.         if ($a == $b{
  543.             SessionUtil::regenerate();
  544.         }
  545.     }
  546.  
  547.  
  548.     /**
  549.      * Define the name of our session cookie
  550.      *
  551.      * @access private
  552.      */
  553.     function getCookieName()
  554.     {
  555.         // Include number of dots in session name such that we use a different session for
  556.         // www.domain.xx and domain.xx. Otherwise we run into problems with both cookies for
  557.         // www.domain.xx as well as domain.xx being sent to www.domain.xx simultaneously!
  558.         $hostNameDotCount substr_count(pnGetHost()'.');
  559.         return pnConfigGetVar('sessionname').$hostNameDotCount;
  560.     }
  561. }
  562.  
  563.  
  564. // emulate session_regenerate_id function if missing
  565. if (!function_exists('session_regenerate_id')) {
  566.     /**
  567.      * Regenerate session
  568.      *
  569.      * @return string session_id
  570.      */
  571.     function session_regenerate_id({
  572.         $len (ini_get('session.hash_function'== 032 40;
  573.         return (bool)session_id(RandomUtil::getString($len$lenfalsefalsetruefalsetruefalsefalse));
  574.     }
  575. }
  576.  
  577.  
  578. /* Following _Session__* API are for internal class use.  Do not call directly */
  579.  
  580. /**
  581.  * PHP function to start the session
  582.  *
  583.  * @access private
  584.  * @return bool true
  585.  */
  586. function _SessionUtil__Start($path$name)
  587. {
  588.     // Nothing to do
  589.     return true;
  590. }
  591.  
  592. /**
  593.  * PHP function to close the session
  594.  *
  595.  * @access private
  596.  * @return bool true
  597.  */
  598. function _SessionUtil__Close()
  599. {
  600.     // nothing to do
  601.     return true;
  602. }
  603.  
  604. /**
  605.  * PHP function to read a set of session variables
  606.  *
  607.  * @access private
  608.  * @param string $sessid session id
  609.  * @return mixed bool of false or string session variable if true
  610.  */
  611. function _SessionUtil__Read($sessid)
  612. {
  613.     // if (pnConfigGetVar('anonymoussessions') == '0') {
  614.     if (pnConfigGetVar('sessionstoretofile')) {
  615.         $path DataUtil::formatForOS(session_save_path());
  616.         if (file_exists("$path/$sessid")) {
  617.             $result file_get_contents("$path/$sessid");
  618.             if ($result{
  619.                 $result unserialize($result);
  620.             }
  621.         }
  622.     else {
  623.         $result DBUtil::selectObjectByID('session_info'$sessid'sessid');
  624.         if (!$result{
  625.             return false;
  626.         }
  627.     }
  628.  
  629.     if (is_array($result&& isset($result['sessid'])) {
  630.         $GLOBALS['_PNSession']['obj'array('sessid'    => $result['sessid'],
  631.                                               'ipaddr'    => $result['ipaddr'],
  632.                                               'uid'       => $result['uid'],
  633.                                               'lastused'  => $result['lastused']);
  634.     }
  635.  
  636.     // security feature to change session id's periodically
  637.     SessionUtil::random_regenerate();
  638.  
  639.     return (isset($result['vars']$result['vars''');
  640. }
  641.  
  642. /**
  643.  * PHP function to write a set of session variables
  644.  *
  645.  * DO NOT CALL THIS DIRECTLY use session_write_close()
  646.  *
  647.  * @access private
  648.  * @param string $sessid session id
  649.  * @param string $vars session variables
  650.  * @return bool 
  651.  */
  652. function _SessionUtil__Write($sessid$vars)
  653. {
  654.     $obj $GLOBALS['_PNSession']['obj'];
  655.     $obj['vars'$vars;
  656.     $obj['remember'(SessionUtil::getVar('rememberme'SessionUtil::getVar('rememberme'0);
  657.     $obj['uid'(SessionUtil::getVar('uid'SessionUtil::getVar('uid'0);
  658.     $obj['lastused'date('Y-m-d H:i:s'time());
  659.  
  660.     if (pnConfigGetVar('sessionstoretofile')) {
  661.         $path DataUtil::formatForOS(session_save_path());
  662.  
  663.         // if session was regenerate, delete it first
  664.         if (isset($GLOBALS['_PNSession']['regenerated']&& $GLOBALS['_PNSession']['regenerated'== true{
  665.             unlink("$path/$sessid");
  666.         }
  667.  
  668.         // now write session
  669.         if ($fp @fopen("$path/$sessid""w")) {
  670.             $res fwrite($fpserialize($obj));
  671.             fclose($fp);
  672.         else {
  673.             return false;
  674.         }
  675.     else {
  676.         if (isset($GLOBALS['_PNSession']['new']&& $GLOBALS['_PNSession']['new'== true{
  677.             $res DBUtil::insertObject($obj'session_info''sessid'true);
  678.             unset($GLOBALS['_PNSession']['new']);
  679.         else {
  680.             // check for regenerated session and update ID in database
  681.             if (isset($GLOBALS['_PNSession']['regenerated']&& $GLOBALS['_PNSession']['regenerated'== true{
  682.                 $sessiontable pnDBGetTables();
  683.                 $columns $sessiontable['session_info_column'];
  684.                 $where "WHERE $columns[sessid] = 'DataUtil::formatForStore($GLOBALS['_PNSession']['sessid_old']"'";
  685.                 $res DBUtil::updateObject($obj'session_info'$where'sessid'truetrue);
  686.             else {
  687.                 $res DBUtil::updateObject($obj'session_info''''sessid'true);
  688.             }
  689.         }
  690.     }
  691.  
  692.     return (bool)$res;
  693. }
  694.  
  695. /**
  696.  * PHP function to destroy a session
  697.  *
  698.  * DO NOT CALL THIS FUNCTION DIRECTLY use session_destory();
  699.  *
  700.  * @access private
  701.  * @param string $sessid session id
  702.  * @return bool 
  703.  */
  704. function _SessionUtil__Destroy($sessid)
  705. {
  706.     if (isset($GLOBALS['_PNSession'])) {
  707.         unset($GLOBALS['_PNSession']);
  708.     }
  709.  
  710.     // expire the cookie
  711.     setcookie(session_name(,''0ini_get('session.cookie_path'));
  712.  
  713.     // can exit if anon user and anon session disabled
  714.     if (pnConfigGetVar('anonymoussessions'== '0' && SessionUtil::getVar('uid'== '0'{
  715.         return true;
  716.     }
  717.  
  718.     // ensure we delete the stored session (not a regenerated one)
  719.     if (isset($GLOBALS['_PNSession']['regenerated']&& $GLOBALS['_PNSession']['regenerated'== true{
  720.         $sessid $GLOBALS['_PNSession']['sessid_old'];
  721.     else {
  722.         $sessid session_id();
  723.     }
  724.  
  725.     if (pnConfigGetVar('sessionstoretofile')) {
  726.         $path DataUtil::formatForOS(session_save_path()true);
  727.         return unlink("$path/$sessid");
  728.     else {
  729.         $res DBUtil::deleteObjectByID('session_info'$sessid'sessid');
  730.         return (bool)$res;
  731.     }
  732. }
  733.  
  734. /**
  735.  * PHP function to garbage collect session information
  736.  *
  737.  * @access private
  738.  * @param int $maxlifetime maxlifetime of the session
  739.  * @return bool 
  740.  */
  741. function _SessionUtil__GC($maxlifetime)
  742. {
  743.     $now time();
  744.     $inactive ($now - (int)(pnConfigGetVar('secinactivemins'60));
  745.     $daysold  ($now - (int)(pnConfigGetVar('secmeddays'86400));
  746.  
  747.     // find the hash length dynamically
  748.     $hash ini_get('session.hash_function');
  749.     if (empty($hash|| $hash == 0{
  750.         $sessionlength 32;
  751.     else {
  752.         $sessionlength 40;
  753.     }
  754.  
  755.     if (pnConfigGetVar('sessionstoretofile')) {
  756.         // file based GC
  757.         $path DataUtil::formatForOS(session_save_path()true);
  758.         // get files
  759.         $files array();
  760.         if ($handle opendir($path)) {
  761.             while (false !== ($file readdir($handle))) {
  762.                 if ($file != '.' && $file != '..' && strlen($file== $sessionlength{
  763.                     // filename, created, last modified
  764.                     $file "$path/$file";
  765.                     $files[array('name'     => $file,
  766.                     'lastused' => filemtime($file));
  767.                 }
  768.             }
  769.         }
  770.  
  771.         // check we have something to do
  772.         if (count($files== 0{
  773.             return true;
  774.         }
  775.  
  776.         // do GC
  777.         switch (pnConfigGetVar('seclevel')) {
  778.             case 'Low':
  779.                 // Low security - delete session info if user decided not to
  780.                 //                remember themself and session is inactive
  781.                 foreach ($files as $file{
  782.                     $name $file['name'];
  783.                     $lastused $file['lastused'];
  784.                     $session unserialize(file_get_contents($name));
  785.                     if ($lastused $inactive && !isset($session['PNSVrememberme'])) {
  786.                         unlink($name);
  787.                     }
  788.                 }
  789.                 break;
  790.             case 'Medium':
  791.                 // Medium security - delete session info if session cookie has
  792.                 // expired or user decided not to remember themself and inactivity timeout
  793.                 // OR max number of days have elapsed without logging back in
  794.                 foreach ($files as $file{
  795.                     $name $file['name'];
  796.                     $lastused $file['lastused'];
  797.                     $session unserialize(file_get_contents($name));
  798.                     if ($lastused $inactive && !isset($session['PNSVrememberme'])) {
  799.                         unlink($name);
  800.                     }
  801.                     else
  802.                     if (($lastused $daysold)) {
  803.                         unlink($name);
  804.                     }
  805.                 }
  806.                 break;
  807.             case 'High':
  808.                 // High security - delete session info if user is inactive
  809.                 foreach ($files as $file{
  810.                     $name $file['name'];
  811.                     $lastused $file['lastused'];
  812.                     if ($lastused $inactive{
  813.                         unlink($name);
  814.                     }
  815.                 }
  816.                 break;
  817.         }
  818.         return true;
  819.  
  820.     else {
  821.         // DB based GC
  822.         $pntable pnDBGetTables();
  823.         $sessioninfocolumn $pntable['session_info_column'];
  824.         $inactive DataUtil::formatForStore(date('Y-m-d H:i:s'$inactive));
  825.         $daysold  DataUtil::formatForStore(date('Y-m-d H:i:s'$daysold));
  826.  
  827.         switch (pnConfigGetVar('seclevel')) {
  828.             case 'Low':
  829.                 // Low security - delete session info if user decided not to
  830.                 //                remember themself and inactivity timeout
  831.                 $where "WHERE $sessioninfocolumn[remember] = 0
  832.                           AND $sessioninfocolumn[lastused] < '$inactive'";
  833.                 break;
  834.             case 'Medium':
  835.                 // Medium security - delete session info if session cookie has
  836.                 // expired or user decided not to remember themself and inactivity timeout
  837.                 // OR max number of days have elapsed without logging back in
  838.                 $where "WHERE ($sessioninfocolumn[remember] = 0
  839.                           AND $sessioninfocolumn[lastused] < '$inactive')
  840.                           OR ($sessioninfocolumn[lastused] < '$daysold')
  841.                           OR ($sessioninfocolumn[uid] = 0 AND $sessioninfocolumn[lastused] < '$inactive')";
  842.                 break;
  843.             case 'High':
  844.             default:
  845.                 // High security - delete session info if user is inactive
  846.                 $where "WHERE $sessioninfocolumn[lastused] < '$inactive'";
  847.                 break;
  848.         }
  849.  
  850.         $res DBUtil::deleteWhere('session_info'$where);
  851.         return (bool)$res;
  852.     }
  853. }
  854.  
  855.  
  856. /* Legacy APIs to be removed at a later date */
  857.  
  858. /**
  859.  * Get a session variable
  860.  *
  861.  * @deprecated
  862.  * @see SessionUtil::getVar
  863.  * @param sring $name of the session variable to get
  864.  * @param string $default the default value to return if the requested session variable is not set
  865.  * @return string session variable requested
  866.  */
  867. function pnSessionGetVar($name$default=false)
  868. {
  869.     return SessionUtil::getVar($name$default);
  870. }
  871.  
  872.  
  873. /**
  874.  * Set a session variable
  875.  *
  876.  * @deprecated
  877.  * @see SessionUtil::setVar
  878.  * @param string $name of the session variable to set
  879.  * @param value $value to set the named session variable
  880.  * @return bool true
  881.  */
  882. function pnSessionSetVar($name$value)
  883. {
  884.     return SessionUtil::setVar($name$value);
  885. }
  886.  
  887.  
  888. /**
  889.  * Delete a session variable
  890.  *
  891.  * @deprecated
  892.  * @see SessionUtil::delVar
  893.  * @param string $name of the session variable to delete
  894.  * @return bool true
  895.  */
  896. function pnSessionDelVar($name)
  897. {
  898.     return SessionUtil::delVar($name);
  899. }
Documentation generated on Fri, 18 Jul 2008 21:56:50 +0200 by phpDocumentor 1.4.1