Zikula_Core
[ class tree: Zikula_Core ] [ index: Zikula_Core ] [ all elements ]
Packages:
Zikula 1.0.1
axmls
PHPLayersMenu
PHPMailer
phpSniff
pnForm
PostNuke_Core
RC4Crypt
SafeHTML
Services_JSON
SimplePie
Smarty
Xanthia_Templating_Environment
XML_HTMLSax3
ZikulaTemplate_Plugins
Zikula_Core
Zikula_Docs
Zikula_System_Modules
Zikula_Template_Plugins
Zikula_Themes
Zikula_Value_Addons

Source for file SecurityUtil.class.php

Documentation is available at SecurityUtil.class.php

  1. <?php
  2. /**
  3.  * Zikula Application Framework
  4.  *
  5.  * @copyright (c) 2001, Zikula Development Team
  6.  * @link http://www.zikula.org
  7.  * @version $Id: SecurityUtil.class.php 24342 2008-06-06 12:03:14Z markwest $
  8.  * @license GNU/GPL - http://www.gnu.org/copyleft/gpl.html
  9.  * @package Zikula_Core
  10.  */
  11.  
  12. /**
  13.  * SecurityUtil
  14.  *
  15.  * @package Zikula_Core
  16.  * @subpackage SecurityUtil
  17.  * @author Drak
  18.  */
  19. class SecurityUtil
  20. {
  21.     /**
  22.      * Check permissions
  23.      *
  24.      * @param string $component 
  25.      * @param string $instance 
  26.      * @param string $level 
  27.      * @param string $user 
  28.      * @return bool 
  29.      */
  30.     function checkPermission($component=null$instance=null$level=null$user=null)
  31.     {
  32.         static $groupperms array();
  33.  
  34.         if (!is_numeric($level)) {
  35.             return pn_exit ("Invalid security level [$level] received in SecurityUtil::checkPermission");
  36.         }
  37.  
  38.         if (!$user{
  39.             $user pnUserGetVar('uid');
  40.         }
  41.  
  42.         if (!isset($GLOBALS['authinfogathered'][$user]|| (int)$GLOBALS['authinfogathered'][$user== 0{
  43.             $groupperms[$userSecurityUtil::getAuthInfo($user)// First time here - get auth info
  44.             if (count($groupperms[$user]== 0{
  45.                 return false// No permissions
  46.             }
  47.         }
  48.  
  49.         $res SecurityUtil::getSecurityLevel($groupperms[$user]$component$instance>= $level;
  50.  
  51.         // if the check failed, we save the info so that LogUtil has it readily available
  52.         if (!$res{
  53.             global $PNRuntime;
  54.             $PNRuntime['security']['last_failed_check']['component'$component;
  55.             $PNRuntime['security']['last_failed_check']['instance']  $instance;
  56.             $PNRuntime['security']['last_failed_check']['level']     $level;
  57.             $PNRuntime['security']['last_failed_check']['user']      $user;
  58.         }
  59.  
  60.         return $res;
  61.     }
  62.  
  63.  
  64.     /**
  65.      * register a permission schema
  66.      *
  67.      * @param string $component 
  68.      * @param string $schema 
  69.      * @return bool 
  70.      */
  71.     function registerPermissionSchema($component$schema)
  72.     {
  73.         return pnSecAddSchema($component$schema);
  74.     }
  75.  
  76.  
  77.     /**
  78.      * confirm auth key
  79.      *
  80.      * @param string $modname 
  81.      * @param string $varname 
  82.      *
  83.      * @return bool 
  84.      */
  85.     function confirmAuthKey($modname=''$varname='authid')
  86.     {
  87.         if (!$varname{
  88.             $varname 'authid';
  89.     }
  90.  
  91.         $authid FormUtil::getPassedValue($varname);
  92.  
  93.         if (empty($modname)) {
  94.             $modname pnModGetName();
  95.         }
  96.  
  97.         // get the module info
  98.         $modinfo pnModGetInfo(pnModGetIDFromName($modname));
  99.  
  100.         // Regenerate static part of key
  101.         $key SessionUtil::getVar('rand'strtolower($modinfo['name']);
  102.  
  103.         // validate useragent
  104.         if (pnConfigGetVar('sessionauthkeyua')) {
  105.             $useragent sha1(pnServerGetVar('HTTP_USER_AGENT'));
  106.             if (SessionUtil::getVar('useragent'!= $useragent{
  107.                 return false;
  108.             }
  109.         }
  110.  
  111.         // Test works because timestamp is embedded in authkey and appended
  112.         // at the end of the authkey, so we can test validity of authid as
  113.         // well as the number of seconds elapsed since generation.
  114.         $keyexpiry = (int)pnConfigGetVar('keyexpiry');
  115.         $timestamp ($keyexpiry substr($authid40strlen($authid)) '');
  116.         $key .= $timestamp;
  117.         // check build key against authid
  118.         if (sha1($key== substr($authid040)) {
  119.             // now test if time expired
  120.             $elapsedTime = (int)((int)$timestamp time($timestamp$keyexpiry-1);
  121.             if ($elapsedTime $keyexpiry{
  122.                 SessionUtil::setVar('rand'RandomUtil::getString(3240falsetruetruefalsetruetruefalse));
  123.                 return true;
  124.             }
  125.         }
  126.         return false;
  127.     }
  128.  
  129.  
  130.     /**
  131.      * generate auth key
  132.      *
  133.      * @param string $modname module name
  134.      * @return string an encrypted key for use in authorisation of operations
  135.      */
  136.     function generateAuthKey($modname '')
  137.     {
  138.         // since we need sessions for authorisation keys we should check
  139.         // if a session exists and if not create one
  140.         SessionUtil::requireSession();
  141.  
  142.         if (empty($modname)) {
  143.             $modname pnModGetName();
  144.         }
  145.  
  146.         // get the module info
  147.         $modinfo pnModGetInfo(pnModGetIDFromName($modname));
  148.  
  149.         $key SessionUtil::getVar('rand'strtolower($modinfo['name']);
  150.         if (pnConfigGetVar('keyexpiry'0{
  151.             $timestamp time();
  152.             $authid sha1($key.$timestamp$timestamp;
  153.         else {
  154.             $authid sha1($key);
  155.         }
  156.  
  157.         // Return encrypted key
  158.         return $authid;
  159.     }
  160.  
  161.  
  162.     /**
  163.      * get auth info
  164.      *
  165.      * @param unknown_type $user 
  166.      * @return array two element array of user and group permissions
  167.      */
  168.     function getAuthInfo($user=null)
  169.     {
  170.         // Table columns we use - pnModDBInfoLoad is done in pnInit
  171.         $pntable pnDBGetTables();
  172.         $groupmembershipcolumn $pntable['group_membership_column'];
  173.         $grouppermcolumn $pntable['group_perms_column'];
  174.  
  175.         // Empty arrays
  176.         $groupperms array();
  177.  
  178.         $uids[= -1;
  179.         // Get user ID
  180.         if (!isset($user)) {
  181.             if (!pnUserLoggedIn()) {
  182.                 // Unregistered UID
  183.                 $uids[0;
  184.                 $vars['Active User''unregistered';
  185.             else {
  186.                 $uids[pnUserGetVar('uid');
  187.                 $vars['Active User'pnUserGetVar('uid');
  188.             }
  189.         else {
  190.             $uids[$user;
  191.             $vars['Active User'$user;
  192.         }
  193.         $uids implode(','$uids);
  194.  
  195.         // Get all groups that user is in
  196.         $where "WHERE $groupmembershipcolumn[uid] IN (DataUtil::formatForStore($uids')';
  197.         $fldArray DBUtil::selectFieldArray('group_membership''gid'$where);
  198.         if ($fldArray === false{
  199.             return $groupperms;
  200.         }
  201.  
  202.         static $usergroups array();
  203.         if (!$usergroups{
  204.             $usergroups[= -1;
  205.             if (!pnUserLoggedIn()) {
  206.                 $usergroups[0// Unregistered GID
  207.             }
  208.         }
  209.  
  210.         $allgroups array_merge ($usergroups$fldArray);
  211.         $allgroups implode(','$allgroups);
  212.  
  213.         // Get all group permissions
  214.         $where    "WHERE $grouppermcolumn[gid] IN (DataUtil::formatForStore($allgroups')';
  215.         $orderBy  "ORDER BY $grouppermcolumn[sequence]";
  216.         $objArray DBUtil::selectObjectArray('group_perms'$where$orderBy);
  217.         if (!$objArray{
  218.             return $groupperms;
  219.         }
  220.  
  221.         foreach ($objArray as $obj{
  222.             $component SecurityUtil::_fixsecuritystring($obj['component']);
  223.             $instance  SecurityUtil::_fixsecuritystring($obj['instance']);
  224.             $level     SecurityUtil::_fixsecuritystring($obj['level']);
  225.             // Search/replace of special names
  226.             preg_match_all('/<([^>]+)>/'$instance$res);
  227.             $size count($res[1]);
  228.             for($i=0$i<$size$i++{
  229.                 $instance preg_replace('/<([^>]+)>/'$vars[$res[1][$i]]$instance1);
  230.             }
  231.             $groupperms[array('component' => $component,
  232.                                   'instance'  => $instance,
  233.                                   'level'     => $level);
  234.         }
  235.  
  236.         // we've now got the permissions info
  237.         $GLOBALS['authinfogathered'][$user1;
  238.         return $groupperms;
  239.     }
  240.  
  241.  
  242.     /**
  243.      * get security level
  244.      *
  245.      * @param array $perms 
  246.      * @param string $component 
  247.      * @param string $instance 
  248.      * @return int matching security level
  249.      */
  250.     function getSecurityLevel($perms$component$instance)
  251.     {
  252.         $level ACCESS_INVALID;
  253.  
  254.         // If we get a test component or instance purely consisting of ':' signs
  255.         // then it counts as blank
  256.         //itevo
  257.         if ($component == str_repeat(':'strlen($component)) ) {
  258.             $component '';
  259.         }
  260.         if ($instance == str_repeat(':'strlen($instance)) ) {
  261.             $instance '';
  262.         }
  263.  
  264.         // Test for generic permission
  265.         if ((empty($component)) && (empty($instance))) {
  266.             // Looking for best permission
  267.             foreach ($perms as $perm{
  268.                 if ($perm['level'$level{
  269.                     $level $perm['level'];
  270.                 }
  271.             }
  272.             return $level;
  273.         }
  274.  
  275.         // Test for generic instance
  276.         // additional fixes by BMW [larsneo]
  277.         // if the instance is empty, then we're looking for the per-module
  278.         // permissions.
  279.         if (empty($instance)) {
  280.             // if $instance is empty, then there must be a component.
  281.             // Looking for best permission
  282.             foreach ($perms as $perm{
  283.                 // component check
  284.                 if (!preg_match("=^$perm[component]$="$component)) {
  285.                     continue// component doestn't match.
  286.                 }
  287.  
  288.                 // check that the instance matches :: or '' (nothing)
  289.                 if ((preg_match("=^$perm[instance]$="'::'||
  290.                        preg_match("=^$perm[instance]$=",'')) ) {
  291.                     continue// instance does not match
  292.                 }
  293.  
  294.                 // We have a match - set the level and quit
  295.                 $level $perm['level'];
  296.                 break;
  297.  
  298.             }
  299.             return $level;
  300.         }
  301.  
  302.         // Normal permissions check
  303.         // there *is* a $instance at this point.
  304.         foreach ($perms as $perm{
  305.  
  306.             // if there is a component, check that it matches
  307.             if ( ($component != ''&&
  308.                  (!preg_match("=^$perm[component]$="$component)) ) {
  309.                 // component exists, and doestn't match.
  310.                 continue;
  311.             }
  312.  
  313.             // Confirm that instance matches
  314.             if (!preg_match("=^$perm[instance]$="$instance)) {
  315.                 // instance does not match
  316.                 continue;
  317.             }
  318.  
  319.             // We have a match - set the level and quit looking
  320.             $level $perm['level'];
  321.             break;
  322.         }
  323.  
  324.         return $level;
  325.     }
  326.  
  327.  
  328.     /**
  329.      * fix security string
  330.      *
  331.      * @access private
  332.      * @param string $string 
  333.      * @return string 
  334.      */
  335.     function _fixsecuritystring($string)
  336.     {
  337.         if (empty($string)) {
  338.             $string '.*';
  339.         }
  340.         if (strpos($string':'=== 0{
  341.             $string '.*' $string;
  342.         }
  343.         $string str_replace('::'':.*:'$string);
  344.         if (strrpos($string':'=== strlen($string1{
  345.             $string $string '.*';
  346.         }
  347.         return $string;
  348.     }
  349.  
  350.  
  351.     /**
  352.      * sign data object leaving data clearly visible
  353.      *
  354.      * @param unknown_type $data 
  355.      * @return serialized string of signed data
  356.      */
  357.     function signData($data)
  358.     {
  359.         $key pnConfigGetVar('signingkey');
  360.         $unsignedData serialize($data);
  361.         $signature sha1($unsignedData.$key);
  362.         $signedData serialize(array($unsignedData$signature));
  363.  
  364.         return $signedData;
  365.     }
  366.  
  367.  
  368.     /**
  369.      * verify signed data object
  370.      *
  371.      * @param string of serialized $data
  372.      * @return mixed array or string of data if true or bool false if false
  373.      */
  374.     function checkSignedData($data)
  375.     {
  376.         $key pnConfigGetVar('signingkey');
  377.         $signedData unserialize($data);
  378.         $signature sha1($signedData[0].$key);
  379.         if ($signature != $signedData[1]{
  380.             return false;
  381.         }
  382.  
  383.         return unserialize($signedData[0]);
  384.     }
  385.  
  386. }
Documentation generated on Fri, 18 Jul 2008 21:56:46 +0200 by phpDocumentor 1.4.1