Server : Apache System : Linux webd348.cluster026.gra.hosting.ovh.net 5.15.148-ovh-vps-grsec-zfs-classid #1 SMP Thu Feb 8 09:41:04 UTC 2024 x86_64 User : hednacluml ( 122243) PHP Version : 8.3.9 Disable Function : _dyuweyrj4,_dyuweyrj4r,dl Directory : /home/hednacluml/ecriture/ecrire/base/ |
<?php /***************************************************************************\ * SPIP, Système de publication pour l'internet * * * * Copyright © avec tendresse depuis 2001 * * Arnaud Martin, Antoine Pitrou, Philippe Rivière, Emmanuel Saint-James * * * * Ce programme est un logiciel libre distribué sous licence GNU/GPL. * \***************************************************************************/ /** * Utilitaires indispensables autour des serveurs SQL * * @package SPIP\Core\SQL **/ if (!defined('_ECRIRE_INC_VERSION')) { return; } require_once _ROOT_RESTREINT . 'base/objets.php'; /** * Connexion à un serveur de base de données * * On charge le fichier `config/$serveur` (`$serveur='connect'` pour le principal) * qui est censé initaliser la connexion en appelant la fonction `spip_connect_db` * laquelle met dans la globale `db_ok` la description de la connexion. * * On la mémorise dans un tableau pour permettre plusieurs serveurs. * * À l'installation, il faut simuler l'existence de ce fichier. * * @uses spip_connect_main() * * @param string $serveur Nom du connecteur * @param string $version Version de l'API SQL * @return bool|array * - false si la connexion a échouée, * - tableau décrivant la connexion sinon **/ function spip_connect($serveur = '', $version = '') { $serveur = !is_string($serveur) ? '' : strtolower($serveur); $index = $serveur ?: 0; if (!$version) { $version = $GLOBALS['spip_sql_version']; } if (isset($GLOBALS['connexions'][$index][$version])) { return $GLOBALS['connexions'][$index]; } include_spip('base/abstract_sql'); $install = (_request('exec') == 'install'); // Premiere connexion ? if (!($old = isset($GLOBALS['connexions'][$index]))) { $f = ''; if ($serveur) { // serveur externe et nom de serveur bien ecrit ? if (defined('_DIR_CONNECT') and preg_match('/^[\w\.]*$/', $serveur)) { $f = _DIR_CONNECT . $serveur . '.php'; if (!is_readable($f) and !$install) { // chercher une declaration de serveur dans le path // qui peut servir à des plugins à declarer des connexions à une base sqlite // Ex: sert aux boucles POUR et au plugin-dist dump pour se connecter sur le sqlite du dump $f = find_in_path("$serveur.php", 'connect/'); } } } else { if (defined('_FILE_CONNECT') and _FILE_CONNECT) { // init du serveur principal $f = _FILE_CONNECT; } elseif ($install and defined('_FILE_CONNECT_TMP')) { // installation en cours $f = _FILE_CONNECT_TMP; } } unset($GLOBALS['db_ok']); unset($GLOBALS['spip_connect_version']); if ($f and is_readable($f)) { include($f); if (!isset($GLOBALS['db_ok'])) { spip_log("spip_connect: fichier de connexion '$f' OK mais echec connexion au serveur", _LOG_HS); } } else { spip_log("spip_connect: fichier de connexion '$f' non trouve, pas de connexion serveur", _LOG_HS); } if (!isset($GLOBALS['db_ok'])) { // fera mieux la prochaine fois if ($install) { return false; } // ne plus reessayer si ce n'est pas l'install return $GLOBALS['connexions'][$index] = false; } $GLOBALS['connexions'][$index] = $GLOBALS['db_ok']; } // si la connexion a deja ete tentee mais a echoue, le dire! if (!$GLOBALS['connexions'][$index]) { return false; } // la connexion a reussi ou etait deja faite. // chargement de la version du jeu de fonctions // si pas dans le fichier par defaut $type = $GLOBALS['db_ok']['type']; $jeu = 'spip_' . $type . '_functions_' . $version; if (!isset($GLOBALS[$jeu])) { if (!find_in_path($type . '_' . $version . '.php', 'req/', true)) { spip_log("spip_connect: serveur $index version '$version' non defini pour '$type'", _LOG_HS); // ne plus reessayer return $GLOBALS['connexions'][$index][$version] = []; } } $GLOBALS['connexions'][$index][$version] = $GLOBALS[$jeu]; if ($old) { return $GLOBALS['connexions'][$index]; } $GLOBALS['connexions'][$index]['spip_connect_version'] = $GLOBALS['spip_connect_version'] ?? 0; // initialisation de l'alphabet utilise dans les connexions SQL // si l'installation l'a determine. // Celui du serveur principal l'impose aux serveurs secondaires // s'ils le connaissent if (!$serveur) { $charset = spip_connect_main($GLOBALS[$jeu], $GLOBALS['db_ok']['charset']); if (!$charset) { unset($GLOBALS['connexions'][$index]); spip_log('spip_connect: absence de charset', _LOG_AVERTISSEMENT); return false; } } else { if ($GLOBALS['db_ok']['charset']) { $charset = $GLOBALS['db_ok']['charset']; } // spip_meta n'existe pas toujours dans la base // C'est le cas d'un dump sqlite par exemple elseif ( $GLOBALS['connexions'][$index]['spip_connect_version'] and sql_showtable('spip_meta', true, $serveur) and $r = sql_getfetsel('valeur', 'spip_meta', "nom='charset_sql_connexion'", '', '', '', '', $serveur) ) { $charset = $r; } else { $charset = -1; } } if ($charset != -1) { $f = $GLOBALS[$jeu]['set_charset']; if (function_exists($f)) { $f($charset, $serveur); } } return $GLOBALS['connexions'][$index]; } /** * Log la dernière erreur SQL présente sur la connexion indiquée * * @param string $serveur Nom du connecteur de bdd utilisé **/ function spip_sql_erreur($serveur = '') { $connexion = spip_connect($serveur); $e = sql_errno($serveur); $t = ($connexion['type'] ?? 'sql'); $m = "Erreur $e de $t: " . sql_error($serveur) . "\nin " . sql_error_backtrace() . "\n" . trim($connexion['last']); $f = $t . $serveur; spip_log($m, $f . '.' . _LOG_ERREUR); } /** * Retourne le nom de la fonction adaptée de l'API SQL en fonction du type de serveur * * Cette fonction ne doit être appelée qu'à travers la fonction sql_serveur * définie dans base/abstract_sql * * Elle existe en tant que gestionnaire de versions, * connue seulement des convertisseurs automatiques * * @param string $version Numéro de version de l'API SQL * @param string $ins Instruction de l'API souhaitée, tel que 'allfetsel' * @param string $serveur Nom du connecteur * @param bool $continue true pour continuer même si le serveur SQL ou l'instruction est indisponible * @return array|bool|string * - string : nom de la fonction à utiliser, * - false : si la connexion a échouée * - array : description de la connexion, si l'instruction sql est indisponible pour cette connexion **/ function spip_connect_sql($version, $ins = '', $serveur = '', $continue = false) { $desc = spip_connect($serveur, $version); if ( $desc and $f = ($desc[$version][$ins] ?? '') and function_exists($f) ) { return $f; } if ($continue) { return $desc; } if ($ins) { spip_log("Le serveur '$serveur' version $version n'a pas '$ins'", _LOG_ERREUR); } include_spip('inc/minipres'); echo minipres(_T('info_travaux_titre'), _T('titre_probleme_technique'), ['status' => 503]); exit; } /** * Fonction appelée par le fichier connecteur de base de données * crée dans `config/` à l'installation. * * Il contient un appel direct à cette fonction avec comme arguments * les identifants de connexion. * * Si la connexion reussit, la globale `db_ok` mémorise sa description. * C'est un tableau également retourné en valeur, pour les appels * lors de l'installation. * * @param string $host Adresse du serveur de base de données * @param string $port Port utilisé pour la connexion * @param string $login Identifiant de connexion à la base de données * @param string $pass Mot de passe pour cet identifiant * @param string $db Nom de la base de données à utiliser * @param string $type Type de base de données tel que 'mysql', 'sqlite3' (cf ecrire/req/) * @param string $prefixe Préfixe des tables SPIP * @param string $auth Type d'authentification (cas si 'ldap') * @param string $charset Charset de la connexion SQL (optionnel) * @return array|null Description de la connexion */ function spip_connect_db( $host, $port, $login, #[\SensitiveParameter] $pass, $db = '', $type = 'mysql', $prefixe = '', $auth = '', $charset = '' ) { // temps avant nouvelle tentative de connexion // suite a une connection echouee if (!defined('_CONNECT_RETRY_DELAY')) { define('_CONNECT_RETRY_DELAY', 30); } $f = ''; // un fichier de identifiant par combinaison (type,host,port,db) // pour ne pas declarer tout indisponible d'un coup // si en cours d'installation ou si db=@test@ on ne pose rien // car c'est un test de connexion if (!defined('_ECRIRE_INSTALL') and $db !== '@test@') { $f = _DIR_TMP . $type . '.' . substr(md5($host . $port . $db), 0, 8) . '.out'; } elseif ($db == '@test@') { $db = ''; } if ( $f and @file_exists($f) and (time() - @filemtime($f) < _CONNECT_RETRY_DELAY) ) { spip_log("Echec : $f recent. Pas de tentative de connexion", _LOG_HS); return null; } if (!$prefixe) { $prefixe = $GLOBALS['table_prefix'] ?? $db; } $h = charger_fonction($type, 'req', true); if (!$h) { spip_log("les requetes $type ne sont pas fournies", _LOG_HS); return null; } if ($g = $h($host, $port, $login, $pass, $db, $prefixe)) { if (!is_array($auth)) { // compatibilite version 0.7 initiale $g['ldap'] = $auth; $auth = ['ldap' => $auth]; } $g['authentification'] = $auth; $g['type'] = $type; $g['charset'] = $charset; return $GLOBALS['db_ok'] = $g; } // En cas d'indisponibilite du serveur, eviter de le bombarder if ($f) { @touch($f); spip_log("Echec connexion serveur $type : host[$host] port[$port] login[$login] base[$db]", $type . '.' . _LOG_HS); } return null; } /** * Première connexion au serveur principal de base de données * * Retourner le charset donnée par la table principale * mais vérifier que le fichier de connexion n'est pas trop vieux * * @note * Version courante = 0.8 * * - La version 0.8 indique un charset de connexion comme 9e arg * - La version 0.7 indique un serveur d'authentification comme 8e arg * - La version 0.6 indique le prefixe comme 7e arg * - La version 0.5 indique le serveur comme 6e arg * * La version 0.0 (non numerotée) doit être refaite par un admin. * Les autres fonctionnent toujours, même si : * * - la version 0.1 est moins performante que la 0.2 * - la 0.2 fait un include_ecrire('inc_db_mysql.php3'). * * @param array $connexion Description de la connexion * @param string $charset_sql_connexion charset de connexion fourni dans l'appal a spip_connect_db * @return string|bool|int * - false si pas de charset connu pour la connexion * - -1 charset non renseigné * - nom du charset sinon **/ function spip_connect_main($connexion, $charset_sql_connexion = '') { if ($GLOBALS['spip_connect_version'] < 0.1 and _DIR_RESTREINT) { include_spip('inc/headers'); redirige_url_ecrire('upgrade', 'reinstall=oui'); } if (!($f = $connexion['select'])) { return false; } // si le charset est fourni, l'utiliser if ($charset_sql_connexion) { return $charset_sql_connexion; } // sinon on regarde la table spip_meta // en cas d'erreur select retourne la requette (is_string=true donc) if ( !$r = $f('valeur', 'spip_meta', "nom='charset_sql_connexion'") or is_string($r) ) { return false; } if (!($f = $connexion['fetch'])) { return false; } $r = $f($r); return (isset($r['valeur']) && $r['valeur']) ? $r['valeur'] : -1; } /** * Connection à LDAP * * Fonction présente pour compatibilité * * @deprecated 3.1 * @see Utiliser l'authentification LDAP de auth/ldap * @uses auth_ldap_connect() * * @param string $serveur Nom du connecteur * @return array */ function spip_connect_ldap($serveur = '') { trigger_deprecation('spip', '3.1', 'Using "%s" is deprecated, use "%s" instead', __FUNCTION__, 'auth_ldap_connect'); include_spip('auth/ldap'); return auth_ldap_connect($serveur); } /** * Échappement d'une valeur sous forme de chaîne PHP * * Échappe une valeur (num, string, array) pour en faire une chaîne pour PHP. * Un `array(1,'a',"a'")` renvoie la chaine `"'1','a','a\''"` * * @note * L'usage comme échappement SQL est déprécié, à remplacer par sql_quote(). * * @param int|float|string|array $a Valeur à échapper * @return string Valeur échappée. **/ function _q($a): string { if (is_numeric($a)) { return strval($a); } elseif (is_array($a)) { return join(',', array_map('_q', $a)); } elseif (is_scalar($a)) { return ("'" . addslashes($a) . "'"); } elseif ($a === null) { return "''"; } throw new \RuntimeException('Can’t use _q with ' . gettype($a)); } /** * Echapper les textes entre ' ' ou " " d'une requête SQL * avant son pre-traitement * * On renvoi la query sans textes et les textes séparés, dans * leur ordre d'apparition dans la query * * @see query_reinjecte_textes() * * @param string $query * @return array */ function query_echappe_textes($query, $uniqid = null) { static $codeEchappements = null; if (is_null($codeEchappements) or $uniqid) { if (is_null($uniqid)) { $uniqid = uniqid(); } $uniqid = substr(md5($uniqid), 0, 4); $codeEchappements = ['\\\\' => "\x1@#{$uniqid}#@\x1", "\\'" => "\x2@#{$uniqid}#@\x2", '\\"' => "\x3@#{$uniqid}#@\x3", '%' => "\x4@#{$uniqid}#@\x4"]; } if ($query === null) { return $codeEchappements; } // si la query contient deja des codes d'echappement on va s'emmeler les pinceaux et donc on ne touche a rien // ce n'est pas un cas legitime foreach ($codeEchappements as $codeEchappement) { if (strpos($query, (string) $codeEchappement) !== false) { return [$query, []]; } } $query_echappees = str_replace(array_keys($codeEchappements), array_values($codeEchappements), $query); if (preg_match_all("/('[^']*')|(\"[^\"]*\")/S", $query_echappees, $textes)) { $textes = reset($textes); $parts = []; $currentpos = 0; $k = 0; while (count($textes)) { $part = array_shift($textes); $nextpos = strpos($query_echappees, $part, $currentpos); // si besoin recoller ensemble les doubles '' de sqlite (echappement des ') while (count($textes) and substr($part, -1) === "'") { $next = reset($textes); if ( strpos($next, "'") === 0 and strpos($query_echappees, $part . $next, $currentpos) === $nextpos ) { $part .= array_shift($textes); } else { break; } } $k++; $parts[$k] = [ 'texte' => $part, 'position' => $nextpos, 'placeholder' => '%' . $k . '$s', ]; $currentpos = $nextpos + strlen($part); } // et on replace les parts une par une en commencant par la fin while ($k > 0) { $query_echappees = substr_replace($query_echappees, $parts[$k]['placeholder'], $parts[$k]['position'], strlen($parts[$k]['texte'])); $k--; } $textes = array_column($parts, 'texte'); } else { $textes = []; } // si il reste des quotes simples ou doubles, c'est qu'on s'est emmelle les pinceaux // dans le doute on ne touche a rien if (strpbrk($query_echappees, "'\"") !== false) { return [$query, []]; } return [$query_echappees, $textes]; } /** * Réinjecter les textes d'une requete SQL à leur place initiale, * après traitement de la requête * * @see query_echappe_textes() * * @param string $query * @param array $textes * @return string */ function query_reinjecte_textes($query, $textes) { // recuperer les codes echappements $codeEchappements = query_echappe_textes(null); if (!empty($textes)) { $query = sprintf($query, ...$textes); } $query = str_replace(array_values($codeEchappements), array_keys($codeEchappements), $query); return $query; } /** * Exécute une requête sur le serveur SQL * * @note Ne génère pas d’erreur fatale si la connexion à la BDD n’existe pas * @deprecated 3.1 Pour compatibilité. * @see sql_query() ou l'API `sql_*`. * * @param string $query texte de la requête * @param string $serveur Nom du connecteur pour la base de données * @return bool|mixed * - false si on ne peut pas exécuter la requête * - indéfini sinon. **/ function spip_query($query, $serveur = '') { $f = spip_connect_sql($GLOBALS['spip_sql_version'], 'query', $serveur, true); return function_exists($f) ? $f($query, $serveur) : false; }