Sākums Izpētīt Palīdzība
Pierakstīties
r00thouse
/
spip_r00thouse
Vērot 4
Pievienot zvaigznīti 1
Atdalīts 0
Faili Problēmas 0 Izmaiņu pieprasījumi 0 Vikivietne
Atzars: master
Atzari Tagi
spip_r00thouse
/
plugins-dist
/
medias
/
action
/
acceder_document.php

acceder_document.php 3.7 KB
Patstāvīgā saite Vēsture Neapstrādāts

123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125 
  1. <?php
    2. 

  2. 

  3. /***************************************************************************\
    4. 

  4.  *  SPIP, Systeme de publication pour l'internet                           *
    5. 

  5.  *                                                                         *
    6. 

  6.  *  Copyright (c) 2001-2014                                                *
    7. 

  7.  *  Arnaud Martin, Antoine Pitrou, Philippe Riviere, Emmanuel Saint-James  *
    8. 

  8.  *                                                                         *
    9. 

  9.  *  Ce programme est un logiciel libre distribue sous licence GNU/GPL.     *
    10. 

  10.  *  Pour plus de details voir le fichier COPYING.txt ou l'aide en ligne.   *
    11. 

  11. \***************************************************************************/
    12. 

  12. 

  13. if (!defined('_ECRIRE_INC_VERSION')) return;
    14. 

  14. 

  15. include_spip('inc/headers');
    16. 

  16. 

  17. // acces aux documents joints securise
    18. 

  18. // verifie soit que le demandeur est authentifie
    19. 

  19. // soit que le document est publie, c'est-a-dire
    20. 

  20. // joint a au moins 1 article ou rubrique publie
    21. 

  21. 

  22. // http://code.spip.net/@action_acceder_document_dist
    23. 

  23. function action_acceder_document_dist() {
    24. 

  24. 	include_spip('inc/documents');
    25. 

  25. 

  26. 	// $file exige pour eviter le scan id_document par id_document
    27. 

  27. 	$f = rawurldecode(_request('file'));
    28. 

  28. 	$file = get_spip_doc($f);
    29. 

  29. 	$arg = rawurldecode(_request('arg'));
    30. 

  30. 

  31. 	$status = $dcc = false;
    32. 

  32. 	if (strpos($f,'../') !== false
    33. 

  33. 	OR preg_match(',^\w+://,', $f)) {
    34. 

  34. 		$status = 403;
    35. 

  35. 	}
    36. 

  36. 	else if (!file_exists($file) OR !is_readable($file)) {
    37. 

  37. 		$status = 404;
    38. 

  38. 	} else {
    39. 

  39. 		$where = "D.fichier=".sql_quote(set_spip_doc($file))
    40. 

  40. 		. ($arg ? " AND D.id_document=".intval($arg): '');
    41. 

  41. 

  42. 		$doc = sql_fetsel("D.id_document, D.titre, D.fichier, T.mime_type, T.inclus, D.extension", "spip_documents AS D LEFT JOIN spip_types_documents AS T ON D.extension=T.extension",$where);
    43. 

  43. 		if (!$doc) {
    44. 

  44. 			$status = 404;
    45. 

  45. 		} else {
    46. 

  46. 

  47. 			// ETag pour gerer le status 304
    48. 

  48. 			$ETag = md5($file . ': '. filemtime($file));
    49. 

  49. 			if (isset($_SERVER['HTTP_IF_NONE_MATCH'])
    50. 

  50. 			AND $_SERVER['HTTP_IF_NONE_MATCH'] == $ETag) {
    51. 

  51. 				http_status(304); // Not modified
    52. 

  52. 				exit;
    53. 

  53. 			} else {
    54. 

  54. 				header('ETag: '.$ETag);
    55. 

  55. 			}
    56. 

  56. 

  57. 			//
    58. 

  58. 			// Verifier les droits de lecture du document
    59. 

  59. 			// en controlant la cle passee en argument
    60. 

  60. 			//
    61. 

  61. 			include_spip('inc/securiser_action');
    62. 

  62. 			$cle = _request('cle');
    63. 

  63. 			if (!verifier_cle_action($doc['id_document'].','.$f, $cle)) {
    64. 

  64. 				spip_log("acces interdit $cle erronee");
    65. 

  65. 				$status = 403;
    66. 

  66. 			}
    67. 

  67. 		}
    68. 

  68. 	}
    69. 

  69. 

  70. 	switch($status) {
    71. 

  71. 

  72. 	case 403:
    73. 

  73. 		include_spip('inc/minipres');
    74. 

  74. 		echo minipres();
    75. 

  75. 		break;
    76. 

  76. 

  77. 	case 404:
    78. 

  78. 		http_status(404);
    79. 

  79. 		include_spip('inc/minipres');
    80. 

  80. 		echo minipres(_T('erreur').' 404',
    81. 

  81. 			_T('medias:info_document_indisponible'));
    82. 

  82. 		break;
    83. 

  83. 

  84. 	default:
    85. 

  85. 		header("Content-Type: ". $doc['mime_type']);
    86. 

  86. 

  87. 		// pour les images ne pas passer en attachment
    88. 

  88. 		// sinon, lorsqu'on pointe directement sur leur adresse,
    89. 

  89. 		// le navigateur les downloade au lieu de les afficher
    90. 

  90. 

  91. 		if ($doc['inclus']=='non') {
    92. 

  92. 

  93. 		  // Si le fichier a un titre avec extension,
    94. 

  94. 		  // ou si c'est un nom bien connu d'Unix, le prendre
    95. 

  95. 		  // sinon l'ignorer car certains navigateurs pataugent
    96. 

  96. 

  97. 			$f = basename($file);
    98. 

  98. 			if (isset($doc['titre'])
    99. 

  99. 				AND (preg_match('/^\w+[.]\w+$/', $doc['titre']) OR $doc['titre'] == 'Makefile'))
    100. 

  100. 				$f = $doc['titre'];
    101. 

  101. 

  102. 			// ce content-type est necessaire pour eviter des corruptions de zip dans ie6
    103. 

  103. 			header('Content-Type: application/octet-stream');
    104. 

  104. 

  105. 			header("Content-Disposition: attachment; filename=\"$f\";");
    106. 

  106. 			header("Content-Transfer-Encoding: binary");
    107. 

  107. 

  108. 			// fix for IE catching or PHP bug issue
    109. 

  109. 			header("Pragma: public");
    110. 

  110. 			header("Expires: 0"); // set expiration time
    111. 

  111. 			header("Cache-Control: must-revalidate, post-check=0, pre-check=0");
    112. 

  112. 

  113. 		}
    114. 

  114. 

  115. 		if ($cl = filesize($file))
    116. 

  116. 			header("Content-Length: ". $cl);
    117. 

  117. 

  118. 		readfile($file);
    119. 

  119. 		break;
    120. 

  120. 	}
    121. 

  121. 

  122. }
    123. 

  123. 

  124. ?>
    125. 

  125.