Source for file global.php

Documentation is available at global.php

  1. <?php
  2.  
  3. /**
  4.  * global.php
  5.  *
  6.  * @copyright 1999-2010 The SquirrelMail Project Team
  7.  * @license http://opensource.org/licenses/gpl-license.php GNU Public License
  8.  * @version $Id: global.php 13896 2010-01-27 23:35:26Z pdontthink $
  9.  * @package squirrelmail
  10.  */
  11.  
  12. /**
  13.  * Set constants
  14.  */
  15. define('SQ_INORDER',0);
  16. define('SQ_GET',1);
  17. define('SQ_POST',2);
  18. define('SQ_SESSION',3);
  19. define('SQ_COOKIE',4);
  20. define('SQ_SERVER',5);
  21. define('SQ_FORM',6);
  22.  
  23. /** First code that should be executed before other files are loaded */
  24.  
  25. /**
  26.  * Must be executed before any other scripts are loaded.
  27.  *
  28.  * If register_globals are on, unregister globals.
  29.  * Second test covers boolean set as string (php_value register_globals off).
  30.  */
  31. if ((bool) ini_get('register_globals'&&
  32.     strtolower(ini_get('register_globals'))!='off'{
  33.     /**
  34.      * Remove all globals that are not reserved by PHP
  35.      * 'value' and 'key' are used by foreach. Don't unset them inside foreach.
  36.      */
  37.     foreach ($GLOBALS as $key => $value{
  38.         switch($key{
  39.         case 'HTTP_POST_VARS':
  40.         case '_POST':
  41.         case 'HTTP_GET_VARS':
  42.         case '_GET':
  43.         case 'HTTP_COOKIE_VARS':
  44.         case '_COOKIE':
  45.         case 'HTTP_SERVER_VARS':
  46.         case '_SERVER':
  47.         case 'HTTP_ENV_VARS':
  48.         case '_ENV':
  49.         case 'HTTP_POST_FILES':
  50.         case '_FILES':
  51.         case '_REQUEST':
  52.         case 'HTTP_SESSION_VARS':
  53.         case '_SESSION':
  54.         case 'GLOBALS':
  55.         case 'key':
  56.         case 'value':
  57.             break;
  58.         default:
  59.             unset($GLOBALS[$key]);
  60.         }
  61.     }
  62.     // Unset variables used in foreach
  63.     unset($GLOBALS['key']);
  64.     unset($GLOBALS['value']);
  65. }
  66.  
  67. /**
  68.  * There are some PHP settings that SquirrelMail is incompatible with
  69.  * and cannot be changed by software at run-time; refuse to run if such
  70.  * settings are being used...
  71.  */
  72. $php_session_auto_start ini_get('session.auto_start');
  73. if ((bool)$php_session_auto_start && $php_session_auto_start != 'off'{
  74.     die('SquirrelMail 1.4.x is not compatible with PHP\'s session.auto_start setting.  Please disable it at least for the location where SquirrelMail is installed.');
  75. }
  76.  
  77. /**
  78.  * Strip any tags added to the url from PHP_SELF.
  79.  * This fixes hand crafted url XXS expoits for any
  80.  * page that uses PHP_SELF as the FORM action.
  81.  * Must be executed before strings.php is loaded (php_self() call in strings.php).
  82.  * Update: strip_tags() won't catch something like
  83.  * src/right_main.php?sort=0&startMessage=1&mailbox=INBOX&xxx="><script>window.open("http://example.com")</script>
  84.  * or
  85.  * contrib/decrypt_headers.php/%22%20onmouseover=%22alert(%27hello%20world%27)%22%3E
  86.  * because it doesn't bother with broken tags.
  87.  * htmlspecialchars() is the preferred method.
  88.  */
  89. if (isset($_SERVER['PHP_SELF'])) {
  90.     $_SERVER['PHP_SELF'htmlspecialchars($_SERVER['PHP_SELF']);
  91. }
  92. /*
  93.  * same needed for QUERY_STRING because SquirrelMail
  94.  * uses it along with PHP_SELF when using location
  95.  * strings
  96.  */
  97. if (isset($_SERVER['QUERY_STRING'])) {
  98.     $_SERVER['QUERY_STRING'htmlspecialchars($_SERVER['QUERY_STRING']);
  99. }
  100. /*
  101.  * same needed for REQUEST_URI because it's used in php_self()
  102.  */
  103. if (isset($_SERVER['REQUEST_URI'])) {
  104.     $_SERVER['REQUEST_URI'htmlspecialchars($_SERVER['REQUEST_URI']);
  105. }
  106.  
  107. /**
  108.  * Bring in the config file
  109.  * We need $session_name
  110.  * config.php $version depends on strings.php.
  111.  * strings.php sets $PHP_SELF.
  112.  */
  113. require_once(SM_PATH 'functions/strings.php');
  114. require_once(SM_PATH 'config/config.php');
  115.  
  116. /**
  117.  * Detect SSL connections
  118.  */
  119. $is_secure_connection is_ssl_secured_connection();
  120.  
  121. /** set the name of the session cookie */
  122. if(isset($session_name&& $session_name{
  123.     ini_set('session.name' $session_name);
  124. else {
  125.     ini_set('session.name' 'SQMSESSID');
  126. }
  127.  
  128. /**
  129.  * If magic_quotes_runtime is on, SquirrelMail breaks in new and creative ways.
  130.  * Force magic_quotes_runtime off.
  131.  * tassium@squirrelmail.org - I put it here in the hopes that all SM code includes this.
  132.  * If there's a better place, please let me know.
  133.  */
  134. ini_set('magic_quotes_runtime','0');
  135.  
  136. /**
  137.  * [#1518885] session.use_cookies = off breaks SquirrelMail
  138.  *
  139.  * When session cookies are not used, all http redirects, meta refreshes,
  140.  * src/download.php and javascript URLs are broken. Setting must be set
  141.  * before session is started.
  142.  */
  143. if (!(bool)ini_get('session.use_cookies'||
  144.     ini_get('session.use_cookies'== 'off'{
  145.     ini_set('session.use_cookies','1');
  146. }
  147.  
  148. /**
  149.  * Make sure to have $base_uri always initialized to avoid having session
  150.  * cookie set separately for each $base_uri subdirectory that receives direct
  151.  * requests from user's browser (typically $base_uri and $base_uri/src).
  152.  */
  153. $base_uri sqm_baseuri();
  154.  
  155. sqsession_is_active();
  156.  
  157. /* if running with magic_quotes_gpc then strip the slashes
  158.    from POST and GET global arrays */
  159.  
  160. if (function_exists('get_magic_quotes_gpc'&& @get_magic_quotes_gpc()) {
  161.     sqstripslashes($_GET);
  162.     sqstripslashes($_POST);
  163. }
  164.  
  165. /**
  166.  * returns true if current php version is at mimimum a.b.c
  167.  *
  168.  * Called: check_php_version(4,1)
  169.  * @param int a major version number
  170.  * @param int b minor version number
  171.  * @param int c release number
  172.  * @return bool 
  173.  */
  174. function check_php_version ($a '0'$b '0'$c '0')
  175. {
  176.     global $SQ_PHP_VERSION;
  177.  
  178.     if(!isset($SQ_PHP_VERSION))
  179.         $SQ_PHP_VERSION substrstr_padpreg_replace('/\D/',''PHP_VERSION)3'0')03);
  180.  
  181.     return $SQ_PHP_VERSION >= ($a.$b.$c);
  182. }
  183.  
  184. /**
  185.  * returns true if the current internal SM version is at minimum a.b.c
  186.  * These are plain integer comparisons, as our internal version is
  187.  * constructed by us, as an array of 3 ints.
  188.  *
  189.  * Called: check_sm_version(1,3,3)
  190.  * @param int a major version number
  191.  * @param int b minor version number
  192.  * @param int c release number
  193.  * @return bool 
  194.  */
  195. function check_sm_version($a 0$b 0$c 0)
  196. {
  197.     global $SQM_INTERNAL_VERSION;
  198.     if !isset($SQM_INTERNAL_VERSION||
  199.          $SQM_INTERNAL_VERSION[0$a ||
  200.          $SQM_INTERNAL_VERSION[0== $a &&
  201.            $SQM_INTERNAL_VERSION[1$b||
  202.          $SQM_INTERNAL_VERSION[0== $a &&
  203.            $SQM_INTERNAL_VERSION[1== $b &&
  204.            $SQM_INTERNAL_VERSION[2$c ) ) {
  205.         return FALSE;
  206.     }
  207.     return TRUE;
  208. }
  209.  
  210.  
  211. /**
  212.  * Recursively strip slashes from the values of an array.
  213.  * @param array array the array to strip, passed by reference
  214.  * @return void 
  215.  */
  216. function sqstripslashes(&$array{
  217.     if(count($array0{
  218.         foreach ($array as $index=>$value{
  219.             if (is_array($array[$index])) {
  220.                 sqstripslashes($array[$index]);
  221.             }
  222.             else {
  223.                 $array[$indexstripslashes($value);
  224.             }
  225.         }
  226.     }
  227. }
  228.  
  229. /**
  230.  * Squelch error output to screen (only) for the given function.
  231.  *
  232.  * This provides an alternative to the @ error-suppression
  233.  * operator where errors will not be shown in the interface
  234.  * but will show up in the server log file (assuming the
  235.  * administrator has configured PHP logging).
  236.  * 
  237.  * @since 1.4.12 and 1.5.2
  238.  * 
  239.  * @param string $function The function to be executed
  240.  * @param array  $args     The arguments to be passed to the function
  241.  *                          (OPTIONAL; default no arguments)
  242.  *                          NOTE: The caller must take extra action if
  243.  *                                the function being called is supposed
  244.  *                                to use any of the parameters by
  245.  *                                reference.  In the following example,
  246.  *                                $x is passed by reference and $y is
  247.  *                                passed by value to the "my_func"
  248.  *                                function.
  249.  *  sq_call_function_suppress_errors('my_func', array(&$x, $y));
  250.  * 
  251.  * @return mixed The return value, if any, of the function being
  252.  *                executed will be returned.
  253.  * 
  254.  */ 
  255. function sq_call_function_suppress_errors($function$args=NULL{
  256.    $display_errors ini_get('display_errors');
  257.    ini_set('display_errors''0');
  258.    $ret call_user_func_array($function$args);
  259.    ini_set('display_errors'$display_errors);
  260.    return $ret;
  261. }
  262.  
  263. /**
  264.  * Add a variable to the session.
  265.  * @param mixed $var the variable to register
  266.  * @param string $name the name to refer to this variable
  267.  * @return void 
  268.  */
  269. function sqsession_register ($var$name{
  270.  
  271.     sqsession_is_active();
  272.  
  273.     $_SESSION[$name$var;
  274. }
  275.  
  276. /**
  277.  * Delete a variable from the session.
  278.  * @param string $name the name of the var to delete
  279.  * @return void 
  280.  */
  281. function sqsession_unregister ($name{
  282.  
  283.     sqsession_is_active();
  284.  
  285.     unset($_SESSION[$name]);
  286.  
  287.     // starts throwing warnings in PHP 5.3.0 and is
  288.     // removed in PHP 6 and is redundant anyway
  289.     //session_unregister($name);
  290. }
  291.  
  292. /**
  293.  * Checks to see if a variable has already been registered
  294.  * in the session.
  295.  * @param string $name the name of the var to check
  296.  * @return bool whether the var has been registered
  297.  */
  298. function sqsession_is_registered ($name{
  299.     $test_name &$name;
  300.     return isset($_SESSION[$test_name]);
  301. }
  302.  
  303. /**
  304.  * Search for the var $name in $_SESSION, $_POST, $_GET,
  305.  * $_COOKIE, or $_SERVER and set it in provided var.
  306.  *
  307.  * If $search is not provided,  or == SQ_INORDER, it will search
  308.  * $_SESSION, then $_POST, then $_GET. Otherwise,
  309.  * use one of the defined constants to look for
  310.  * a var in one place specifically.
  311.  *
  312.  * Note: $search is an int value equal to one of the
  313.  * constants defined above.
  314.  *
  315.  * example:
  316.  *    sqgetGlobalVar('username',$username,SQ_SESSION);
  317.  *  -- no quotes around last param!
  318.  *
  319.  * @param string name the name of the var to search
  320.  * @param mixed value the variable to return
  321.  * @param int search constant defining where to look
  322.  * @return bool whether variable is found.
  323.  */
  324. function sqgetGlobalVar($name&$value$search SQ_INORDER{
  325.  
  326.     /* NOTE: DO NOT enclose the constants in the switch
  327.        statement with quotes. They are constant values,
  328.        enclosing them in quotes will cause them to evaluate
  329.        as strings. */
  330.     switch ($search{
  331.         /* we want the default case to be first here,
  332.            so that if a valid value isn't specified,
  333.            all three arrays will be searched. */
  334.       default:
  335.       case SQ_INORDER// check session, post, get
  336.       case SQ_SESSION:
  337.         ifisset($_SESSION[$name]) ) {
  338.             $value $_SESSION[$name];
  339.             return TRUE;
  340.         elseif $search == SQ_SESSION {
  341.             break;
  342.         }
  343.       case SQ_FORM:   // check post, get
  344.       case SQ_POST:
  345.         ifisset($_POST[$name]) ) {
  346.             $value $_POST[$name];
  347.             return TRUE;
  348.         elseif $search == SQ_POST {
  349.           break;
  350.         }
  351.       case SQ_GET:
  352.         if isset($_GET[$name]) ) {
  353.             $value $_GET[$name];
  354.             return TRUE;
  355.         }
  356.         /* NO IF HERE. FOR SQ_INORDER CASE, EXIT after GET */
  357.         break;
  358.       case SQ_COOKIE:
  359.         if isset($_COOKIE[$name]) ) {
  360.             $value $_COOKIE[$name];
  361.             return TRUE;
  362.         }
  363.         break;
  364.       case SQ_SERVER:
  365.         if isset($_SERVER[$name]) ) {
  366.             $value $_SERVER[$name];
  367.             return TRUE;
  368.         }
  369.         break;
  370.     }
  371.     /* if not found, return false */
  372.     return FALSE;
  373. }
  374.  
  375. /**
  376.  * Deletes an existing session, more advanced than the standard PHP
  377.  * session_destroy(), it explicitly deletes the cookies and global vars.
  378.  */
  379. function sqsession_destroy({
  380.  
  381.     /*
  382.      * php.net says we can kill the cookie by setting just the name:
  383.      * http://www.php.net/manual/en/function.setcookie.php
  384.      * maybe this will help fix the session merging again.
  385.      *
  386.      * Changed the theory on this to kill the cookies first starting
  387.      * a new session will provide a new session for all instances of
  388.      * the browser, we don't want that, as that is what is causing the
  389.      * merging of sessions.
  390.      */
  391.  
  392.     global $base_uri;
  393.  
  394.     if (isset($_COOKIE[session_name()])) {
  395.         sqsetcookie(session_name()$_COOKIE[session_name()]1$base_uri);
  396.  
  397.         /*
  398.          * Make sure to kill /src and /src/ cookies, just in case there are
  399.          * some left-over or malicious ones set in user's browser.
  400.          * NB: Note that an attacker could try to plant a cookie for one
  401.          *     of the /plugins/* directories.  Such cookies can block
  402.          *     access to certain plugin pages, but they do not influence
  403.          *     or fixate the $base_uri cookie, so we don't worry about
  404.          *     trying to delete all of them here.
  405.          */
  406.         sqsetcookie(session_name()$_COOKIE[session_name()]1$base_uri 'src');
  407.         sqsetcookie(session_name()$_COOKIE[session_name()]1$base_uri 'src/');
  408.     }
  409.  
  410.     if (isset($_COOKIE['key'])) sqsetcookie('key''SQMTRASH'1$base_uri);
  411.  
  412.     /* Make sure new session id is generated on subsequent session_start() */
  413.     unset($_COOKIE[session_name()]);
  414.     unset($_GET[session_name()]);
  415.     unset($_POST[session_name()]);
  416.  
  417.     $sessid session_id();
  418.     if (!empty$sessid )) {
  419.         $_SESSION array();
  420.         @session_destroy();
  421.     }
  422.  
  423. }
  424.  
  425. /**
  426.  * Function to verify a session has been started.  If it hasn't
  427.  * start a session up.  php.net doesn't tell you that $_SESSION
  428.  * (even though autoglobal), is not created unless a session is
  429.  * started, unlike $_POST, $_GET and such
  430.  */
  431.  
  432. function sqsession_is_active({
  433.     sqsession_start();
  434. }
  435.  
  436. /**
  437.  * Function to start the session and store the cookie with the session_id as
  438.  * HttpOnly cookie which means that the cookie isn't accessible by javascript
  439.  * (IE6 only)
  440.  * Note that as sqsession_is_active() no longer discriminates as to when
  441.  * it calls this function, session_start() has to have E_NOTICE suppression
  442.  * (thus the @ sign).
  443.  *
  444.  * @return void 
  445.  *
  446.  * @since 1.4.16
  447.  *
  448.  */
  449. function sqsession_start({
  450.     global $base_uri;
  451.  
  452.     session_set_cookie_params (0$base_uri);
  453.     @session_start();
  454.     // could be: sq_call_function_suppress_errors('session_start');
  455.     $session_id session_id();
  456.  
  457.     // session_starts sets the sessionid cookie but without the httponly var
  458.     // setting the cookie again sets the httponly cookie attribute
  459.     //
  460.     // need to check if headers have been sent, since sqsession_is_active()
  461.     // has become just a passthru to this function, so the sqsetcookie()
  462.     // below is called every time, even after headers have already been sent
  463.     //
  464.     if (!headers_sent())
  465.        sqsetcookie(session_name(),$session_id,false,$base_uri);
  466. }
  467.  
  468. /**
  469.  * Set a cookie
  470.  *
  471.  * @param string  $sName     The name of the cookie.
  472.  * @param string  $sValue    The value of the cookie.
  473.  * @param int     $iExpire   The time the cookie expires. This is a Unix
  474.  *                            timestamp so is in number of seconds since
  475.  *                            the epoch.
  476.  * @param string  $sPath     The path on the server in which the cookie
  477.  *                            will be available on.
  478.  * @param string  $sDomain   The domain that the cookie is available.
  479.  * @param boolean $bSecure   Indicates that the cookie should only be
  480.  *                            transmitted over a secure HTTPS connection.
  481.  * @param boolean $bHttpOnly Disallow JS to access the cookie (IE6/FF2)
  482.  * @param boolean $bReplace  Replace previous cookies with same name?
  483.  *
  484.  * @return void 
  485.  *
  486.  * @since 1.4.16 and 1.5.1
  487.  *
  488.  */
  489. function sqsetcookie($sName$sValue='deleted'$iExpire=0$sPath=""$sDomain="",
  490.                      $bSecure=false$bHttpOnly=true$bReplace=false{
  491.  
  492.     // if we have a secure connection then limit the cookies to https only.
  493.     global $is_secure_connection;
  494.     if ($sName && $is_secure_connection)
  495.         $bSecure true;
  496.  
  497.     // admin config can override the restriction of secure-only cookies
  498.     //
  499.     // (we have to check if the value is set and default it to true if
  500.     // not because when upgrading without re-running conf.pl, it will
  501.     // not be found in config/config.php and thusly evaluate to false,
  502.     // but we want to default people who upgrade to true due to security
  503.     // implications of setting this to false)
  504.     //
  505.     global $only_secure_cookies;
  506.     if (!isset($only_secure_cookies)) $only_secure_cookies true;
  507.     if (!$only_secure_cookies)
  508.         $bSecure false;
  509.  
  510.     if (false && check_php_version(5,2)) {
  511.        // php 5 supports the httponly attribute in setcookie, but because setcookie seems a bit
  512.        // broken we use the header function for php 5.2 as well. We might change that later.
  513.        //setcookie($sName,$sValue,(int) $iExpire,$sPath,$sDomain,$bSecure,$bHttpOnly);
  514.     else {
  515.         if (!empty($sDomain)) {
  516.             // Fix the domain to accept domains with and without 'www.'.
  517.             if (strtolower(substr($sDomain04)) == 'www.')  $sDomain substr($sDomain4);
  518.             $sDomain '.' $sDomain;
  519.  
  520.             // Remove port information.
  521.             $Port strpos($sDomain':');
  522.             if ($Port !== false)  $sDomain substr($sDomain0$Port);
  523.         }
  524.         if (!$sValue$sValue 'deleted';
  525.         header('Set-Cookie: ' rawurlencode($sName'=' rawurlencode($sValue)
  526.                             . (empty($iExpire'' '; expires=' gmdate('D, d-M-Y H:i:s'$iExpire' GMT')
  527.                             . (empty($sPath'' '; path=' $sPath)
  528.                             . (empty($sDomain'' '; domain=' $sDomain)
  529.                             . (!$bSecure '' '; secure')
  530.                             . (!$bHttpOnly '' '; HttpOnly')$bReplace);
  531.     }
  532. }
  533.  
  534. /**
  535.  * Detect whether or not we have a SSL secured (HTTPS)
  536.  * connection to the browser
  537.  *
  538.  * It is thought to be so if you have 'SSLOptions +StdEnvVars'
  539.  * in your Apache configuration,
  540.  *     OR if you have HTTPS set to a non-empty value (except "off")
  541.  *        in your HTTP_SERVER_VARS,
  542.  *     OR if you have HTTP_X_FORWARDED_PROTO=https in your HTTP_SERVER_VARS,
  543.  *     OR if you are on port 443.
  544.  *
  545.  * Note: HTTP_X_FORWARDED_PROTO could be sent from the client and
  546.  *       therefore possibly spoofed/hackable - for now, the
  547.  *       administrator can tell SM to ignore this value by setting
  548.  *       $sq_ignore_http_x_forwarded_headers to boolean TRUE in
  549.  *       config/config_local.php, but in the future we may
  550.  *       want to default this to TRUE and make administrators
  551.  *       who use proxy systems turn it off (see 1.5.2+).
  552.  *
  553.  * Note: It is possible to run SSL on a port other than 443, and
  554.  *       if that is the case, the administrator should set
  555.  *       $sq_https_port to the applicable port number in
  556.  *       config/config_local.php
  557.  *
  558.  * @return boolean TRUE if the current connection is SSL-encrypted;
  559.  *                  FALSE otherwise.
  560.  *
  561.  * @since 1.4.17 and 1.5.2
  562.  *
  563.  */
  564. function is_ssl_secured_connection()
  566.     global $sq_ignore_http_x_forwarded_headers$sq_https_port;
  567.     $https_env_var getenv('HTTPS');
  568.     if ($sq_ignore_http_x_forwarded_headers
  569.      || !sqgetGlobalVar('HTTP_X_FORWARDED_PROTO'$forwarded_protoSQ_SERVER))
  570.         $forwarded_proto '';
  571.     if (empty($sq_https_port)) // won't work with port 0 (zero)
  572.        $sq_https_port 443;
  573.     if ((isset($https_env_var&& strcasecmp($https_env_var'on'=== 0)
  574.      || (sqgetGlobalVar('HTTPS'$httpsSQ_SERVER&& !empty($https)
  575.       && strcasecmp($https'off'!== 0)
  576.      || (strcasecmp($forwarded_proto'https'=== 0)
  577.      || (sqgetGlobalVar('SERVER_PORT'$server_portSQ_SERVER)
  578.       && $server_port == $sq_https_port))
  579.         return TRUE;
  580.     return FALSE;
  581. }
  582.  
  583. /**
  584.  * Determine if there are lines in a file longer than a given length
  585.  *
  586.  * @param string $filename   The full file path of the file to inspect
  587.  * @param int    $max_length If any lines in the file are GREATER THAN
  588.  *                            this number, this function returns TRUE.
  589.  *
  590.  * @return boolean TRUE as explained above, otherwise, (no long lines
  591.  *                  found) FALSE is returned.
  592.  *
  593.  */
  594. function file_has_long_lines($filename$max_length{
  595.  
  596.     $FILE @fopen($filename'rb');
  597.  
  598.     if ($FILE{
  599.         while (!feof($FILE)) {
  600.             $buffer fgets($FILE4096);
  601.             if (strlen($buffer$max_length{
  602.                 fclose($FILE);
  603.                 return TRUE;
  604.             }
  605.         }
  606.         fclose($FILE);
  607.     }
  608.  
  609.     return FALSE;
  610. }

Documentation generated on Thu, 29 Jul 2010 04:19:11 +0200 by phpDocumentor 1.4.3