<?php
/***************************************************************************
- * Copyright (C) 2003-2007 Polytechnique.org *
+ * Copyright (C) 2003-2008 Polytechnique.org *
* http://opensource.polytechnique.org/ *
* *
* This program is free software; you can redistribute it and/or modify *
@session_start();
if (empty($_SESSION['challenge'])) {
$_SESSION['challenge'] = sha1(uniqid(rand(), true));
- }
+ }
+ if (empty($_SESSION['xsrf_token'])) {
+ require_once 'xorg.misc.inc.php';
+ $_SESSION['xsrf_token'] = rand_url_id();
+ }
+ if (!isset($_SESSION['perms']) || !($_SESSION['perms'] instanceof FlagSet)) {
+ $_SESSION['perms'] = new FlagSet();
+ }
}
public static function destroy()
return isset($_SESSION[$key]) ? $_SESSION[$key] : $default;
}
+ public static function s($key, $default = '')
+ {
+ return (string)Session::v($key, $default);
+ }
+
public static function i($key, $default = 0)
{
$i = Session::v($key, $default);
return is_numeric($i) ? intval($i) : $default;
}
+ public static function l(array $keys)
+ {
+ return array_map(array('Session', 'v'), $keys);
+ }
+
public static function has_perms()
{
- return Session::logged() && Session::v('perms') == PERMS_ADMIN;
+ return Session::logged() && Session::v('perms')->hasFlag(PERMS_ADMIN);
}
public static function logged()
{
return Session::v('auth', AUTH_PUBLIC) >= AUTH_MDP;
}
+
+ // Anti-XSRF protections.
+ public static function has_xsrf_token()
+ {
+ return Session::has('xsrf_token') && Session::v('xsrf_token') == Env::v('token');
+ }
+
+ public static function assert_xsrf_token()
+ {
+ if (!Session::has_xsrf_token()) {
+ global $page;
+ if ($page instanceof PlatalPage) {
+ $page->kill("L'opération n'a pas pu aboutir, merci de réessayer.");
+ }
+ }
+ }
+
+ public static function rssActivated()
+ {
+ return Session::has('core_rss_hash') && Session::v('core_rss_hash');
+ }
}
// {{{ function check_perms()
if ($_SESSION['log']) {
$_SESSION['log']->log("noperms",$_SERVER['PHP_SELF']);
}
- $page->kill("Tu n'as pas les permissions nécessaires pour accéder à cette page.");
+ $page->kill("Tu n'as pas les permissions nécessaires pour accéder à cette page.");
}
}