~quam-plures-core/quam-plures/qp5_colls-blogs_chaps-cats

 * It is useful when you want to do very customized templates!

 * It is also called by more complete initializers.

 *

 * This file is part of Quam Plures - {@link http://quamplures.net/}

 * See also {@link https://launchpad.net/quam-plures}.

 *

 * @copyright (c) 2009 - 2011 by the Quam Plures developers - {@link http://quamplures.net/}

 * @copyright (c)2003-2009 by Francois PLANQUE - {@link http://fplanque.net/}

 * Parts of this file are copyright (c)2004-2006 by Daniel HAHLER - {@link http://thequod.de/contact}.

 * Parts of this file are copyright (c)2005-2006 by PROGIDISTRI - {@link http://progidistri.com/}.

 *

 * {@internal License choice

 * - If you have received this file as part of a package, please find the license.txt file in

 *   the same folder or the closest folder above for complete license terms.

 * - If you have received this file individually (e-g: from http://evocms.cvs.sourceforge.net/)

 *   then you must choose one of the following licenses before using the file:

 *   - GNU General Public License 2 (GPL) - http://www.opensource.org/licenses/gpl-license.php

 *   - Mozilla Public License 1.1 (MPL) - http://www.opensource.org/licenses/mozilla1.1.php

 * }}

 *

 * {@internal Open Source relicensing agreement:

 * Daniel HAHLER grants Francois PLANQUE the right to license

 * Daniel HAHLER's contributions to this file and the b2evolution project

 * under any OSI approved OSS license (http://www.opensource.org/licenses/).

 *

 * PROGIDISTRI S.A.S. grants Francois PLANQUE the right to license

 * PROGIDISTRI S.A.S.'s contributions to this file and the b2evolution project

 * under any OSI approved OSS license (http://www.opensource.org/licenses/).

 *

 * Matt FOLLETT grants Francois PLANQUE the right to license

 * Matt FOLLETT's contributions to this file and the b2evolution project

 * under any OSI approved OSS license (http://www.opensource.org/licenses/).

 * }}

 *

 * {@internal Below is a list of authors who have contributed to design/coding of this file: }}

 * @author fplanque: Francois PLANQUE

 * @author blueyed: Daniel HAHLER

 * @author mfollett: Matt FOLLETT.

 * @author mbruneau: Marc BRUNEAU / PROGIDISTRI

 *

 * @package pond

if( !defined('QP_CONFIG_LOADED') ) die( 'Please, do not access this page directly.' );

 

/**

 * Prevent double loading since require_once won't work in all situations

 * on windows when some subfolders have caps :(

 * (Check it out on static page generation)

 */

 

                if(  in_array( $protect, array_keys($_REQUEST) )

                        || in_array( $protect, array_keys($_GET) )

                        || in_array( $protect, array_keys($_POST) )

                        || in_array( $protect, array_keys($_COOKIE) )

                        || in_array( $protect, array_keys($_FILES) ) )

/*

 * fp> We might want to kill all auto registered globals this way:

 * TODO: testing

 *

$superglobals = array($_SERVER, $_ENV, $_FILES, $_COOKIE, $_POST, $_GET);

if (isset( $_SESSION )) array_unshift ( $superglobals , $_SESSION );

if (ini_get('register_globals') && !$this->mosConfig_register_globals)

{

        foreach ( $superglobals as $superglobal )

        {

                foreach ( $superglobal as $key => $value)

                {

                        unset( $GLOBALS[$key]);

                }

        }

}

*/

 

 

 * Class loader.

require_once $inc_path.'_core/_class'.floor(PHP_VERSION).'.funcs.php';

 

 

/**

 * Load logging class

 */

load_class('_core/model/_log.class.php');

/**

 * Debug message log for debugging only (initialized here).

 *

 * @global Log|Log_noop $Debuglog

 */

 

 * Start timer:

load_class('_core/model/_timer.class.php');

 

 

 

if( !$app_config_is_done )

{ // base config is not done!

elseif( !isset( $locales[$default_locale] ) )

{ // error & exit

 

 

/**

 * Load settings class

 */

load_class('settings/model/_generalsettings.class.php');

load_class('users/model/_usersettings.class.php');

 *

 *

 

 * @global int $servertimenow

$time_difference = $Settings->get('time_difference');

 * @global int $localtimenow

 

/**

 * The Hit class

 */

load_class('sessions/model/_hit.class.php');

load_funcs('_core/_param.funcs.php');

load_funcs('_core/_url.funcs.php');

 

 

/**

 * Locale selection:

 * We need to do this as early as possible in order to set DB connection charset below

 * fp> that does not explain why it needs to be here!! Why do we need to set the Db charset HERE? BEFORE WHAT?

 *

 * sam2kb> ideally we should set the right DB charset at the time when we connect to the database. The reason is until we do it all data pulled out from DB is in wrong encoding. I put the code here because it depends on _param.funcs, so if move the _param.funcs higher we can also move this code right under _connect_db

 * See also http://forums.b2evolution.net//viewtopic.php?p=95100

 *

 */

$Debuglog->add( 'default_locale from conf: '.$default_locale, 'locale' );

 

$Debuglog->add( 'default_locale from DB: '.$default_locale, 'locale' );

 

$Debuglog->add( 'default_locale from HTTP_ACCEPT: '.$default_locale, 'locale' );

if( ($locale_from_get = param( 'locale', 'string', NULL, true )) )

                        $Debuglog->add('Overriding locale from REQUEST: '.$default_locale, 'locale');

                        $Debuglog->add('$locale_from_get ('.$locale_from_get.') is not set. Available locales: '.implode(', ', array_keys($locales)), 'locale');

        else

        {

                $Debuglog->add('$locale_from_get == $default_locale ('.$locale_from_get.').', 'locale');

        }

 

/**

 * Activate default locale:

 */

// Set encoding for MySQL connection:

 

 

/**

 * The Session class.

 */

load_class('sessions/model/_session.class.php');

/**

 * The Session object.

 * @todo dh> This needs the same "SET NAMES" MySQL-setup as with Session::dbsave() - see the "TODO" with unserialize() in Session::Session()

 * @todo dh> makes no sense in CLI mode (no cookie); Add isset() checks to calls on the $Session object, e.g. below?

 *       fp> We might want to use a special session for CLI. And for cron jobs through http as well.

 

/**

 * @global AbstractSettings

 */

$global_Cache = new AbstractSettings( 'T_global__cache', array( 'cach_name' ), 'cach_cache', 0 /* load all */ );

 

 

/**

 * Plugins init.

 * This is done quite early here to give an early hook ("SessionLoaded") to plugins (though it might also be moved just after $DB init when there is reason for a hook there).

 * The {@link dnsbl_antispam_plugin} is an example that uses this to check the user's IP against a list of DNS blacklists.

 */

load_class('plugins/model/_plugins.class.php');

 

// NOTE: it might be faster (though more bandwidth intensive) to spit cached pages (CachePageContent event) than to look into blocking the request (SessionLoaded event).

 

{ // The event is disabled for this request:

        $Debuglog->add( 'Skipping CachePageContent event, because of core.no_CachePageContent setting.', 'plugins' );

                && ( isset($get_return['data']) ) ) // cached content returned

 

// TODO: we need an event hook here for the transport_optimizer_plugin, which must get called, AFTER another plugin might have started an output buffer for caching already.

//       Plugin priority is no option, because CachePageContent is a trigger_event_first_true event, for obvious reasons.

//       Name?

//       This must not be exactly here, but before any output.

 

 

/**

 * Includes:

 */

$Timer->resume('_main.inc:requires');

load_class('_core/model/dataobjects/_dataobjectcache.class.php');

load_class('generic/model/_genericelement.class.php');

load_class('generic/model/_genericcache.class.php');

load_class('collections/model/_blog.class.php');

load_funcs('collections/model/_blog.funcs.php');

load_funcs('collections/model/_category.funcs.php');

load_funcs('items/model/_item.funcs.php');

load_funcs('users/model/_user.funcs.php');

load_funcs('_core/_template.funcs.php');

load_class('files/model/_file.class.php');

load_class('files/model/_filetype.class.php');

load_class('files/model/_filetypecache.class.php');

load_class('items/model/_itemtype.class.php');

load_class('items/model/_link.class.php');

load_funcs('comments/model/_comment.funcs.php');

load_funcs('items/model/_item.funcs.php');

load_class('comments/model/_commentlist.class.php');

load_funcs('_core/ui/forms/_form.funcs.php');

load_class('_core/ui/forms/_form.class.php');

load_class('items/model/_itemquery.class.php');

 

/*

 * Login procedure: {{{

 * TODO: dh> the meat of this login procedure should be moved to an extra file,

 *           so that if a "logged in"-session exists (in most cases) it does not

 *           trigger parsing the meat of this code.

 * fp> ming you, most hits will be on the font end and will not be loggedin sessions

 *     However, I agree that the login stuff should only be included when the user is actually attempting to log in.

 */

if( !isset($login_required) )

 

if( isset($_POST['login'] ) && isset($_POST['pwd'] ) )

{ // Trying to log in with a POST

        unset($_POST['pwd']); // password will be hashed below

elseif( isset($_GET['login'] ) )

{ // Trying to log in with a GET; we might only provide a user here.

$Debuglog->add( 'login: '.var_export($login, true), 'login' );

$Debuglog->add( 'pass: '.( empty($pass) ? '' : 'not' ).' empty', 'login' );

 

// either 'login' (normal) or 'redirect_to_backoffice' may be set here. This also helps to display the login form again, if either login or pass were empty.

if( ! empty($login_action) || (! empty($login) && ! empty($pass)) )

{ // User is trying to login right now

        $Debuglog->add( 'User is trying to log in.', 'login' );

 

 

        $login = strtolower(strip_tags(remove_magic_quotes($login)));

        $pass = strip_tags(remove_magic_quotes($pass));

 

        /*

         * Handle javascript-hashed password:

         * If possible, the login form will hash the entered password with a salt that changes everytime.

         */

        $pwd_salt_sess = $Session->get('core.pwd_salt');

 

        // $Debuglog->add( 'salt: '.var_export($pwd_salt, true).', session salt: '.var_export($pwd_salt_sess, true) );

 

        $transmit_hashed_password = (bool)$Settings->get('js_passwd_hashing') && !(bool)$Plugins->trigger_event_first_true('LoginAttemptNeedsRawPassword');

        { // at least one plugin requests the password un-hashed:

        // $Debuglog->add( 'pwd_hashed: '.var_export($pwd_hashed, true).', pass: '.var_export($pass, true) );

 

        // Trigger Plugin event, which could create the user, according to another database:

        { // clear the UserCache, if a plugin has been called - it may have changed user(s)

        { // A plugin has thrown a login error..

                // Do nothing, the error will get displayed in the login form..

 

                // TODO: dh> make sure that the user gets logged out?! (a Plugin might have logged him in and another one thrown an error)

        { // Check login and password

 

                $User = & $UserCache->get_by_login($login);

                { // check the password, if no plugin has said "it's ok":

                        if( ! empty($pwd_hashed) )

                        { // password hashed by JavaScript:

 

                                $Debuglog->add( 'Hashed password available.', 'login' );

 

                                if( empty($pwd_salt_sess) )

                                { // no salt stored in session: either cookie problem or the user had already tried logging in (from another window for example)

                                        $Debuglog->add( 'Empty salt_sess!', 'login' );

                                        if( ($pos = strpos( $pass, '_hashed_' ) ) && substr($pass, $pos+8) == $Session->ID )

                                        { // session ID matches, no cookie problem

                                                $Debuglog->add( 'Session ID matches.', 'login' );

                                        { // more general error:

                                                $Debuglog->add( 'Session ID does not match.', 'login' );

                                { // submitted salt differs from the one stored in the session

                                        $Debuglog->add( 'Submitted salt and salt from Session do not match.', 'login' );

                                { // compare the password, using the salt stored in the Session:

                                        #pre_dump( sha1($User->pass.$pwd_salt), $pwd_hashed );

                                        $pass_ok = sha1($User->pass.$pwd_salt) == $pwd_hashed;

                                        $Debuglog->add( 'Compared hashed passwords. Result: '.(int)$pass_ok, 'login' );

                                $pass_ok = $User->check_password( $pass_md5, true );

                                $Debuglog->add( 'Compared raw passwords. Result: '.(int)$pass_ok, 'login' );

        { // Login succeeded, set cookies

                $Debuglog->add( 'User successfully logged in with username and password...', 'login');

                $current_User = & $UserCache->get_by_login($login);

        { // if there's no login_error message yet, add the default one:

        ( empty($login) || ( ( $tmp_User = & $UserCache->get_by_ID($Session->user_ID) ) && $login == $tmp_User->login ) ) )

 

        $Debuglog->add( 'Was already logged in... ['.$current_User->get('login').']', 'login' );

{ // The Session has no user or $login is given (and differs from current user), allow alternate authentication through Plugin:

        if( ($event_return = $Plugins->trigger_event_first_true( 'AlternateAuthentication' ))

            && $Session->has_User()  # the plugin should have attached the user to $Session

                $Debuglog->add( 'User has been authenticated through plugin #'.$event_return['plugin_ID'].' (AlternateAuthentication)', 'login' );

        { // User was not logged in at all, but login is required

                $Debuglog->add( 'NOT logged in... (did not try)', 'login' );

 

unset($pass);

// TODO: dh> this block prevents registration, if you are logged in already, but not validated!

//       (e.g. when registered as "foo", you cannot register as "bar" until you logout (but there's no link in sight)

//        or validate the "foo" account)

if( ! empty($current_User)

                && $Settings->get('newusers_mustvalidate') // same check as in login.php

        { // we're not in that action already:

{ // Trigger plugin event that allows the plugins to re-act on the login event:

        if( empty($current_User) )

                if( ! empty($login_action) )

                { // We're coming from the Login form and need to redirect to the requested page:

                        { // user pressed the "Log into backoffice!" button

/* Login procedure }}} */

 

 

/**

 * User locale selection:

 */

if( is_logged_in() && $current_User->get('locale') != $current_locale

                && !$locale_from_get )

{ // change locale to users preference

        /*

         * User locale selection:

         * TODO: this should get done before instantiating $current_User, because we already use T_() there...

         */

        locale_activate( $current_User->get('locale') );

        if( $current_locale == $current_User->get('locale') )

                $Debuglog->add( 'default_locale from user profile: '.$default_locale, 'locale' );

        }

        else

        {

                $Debuglog->add( 'locale from user profile could not be activated: '.$current_User->get('locale'), 'locale' );

 

// Init charset handling:

// TODO: dh> anything translated before this call might have encoding issues (e.g. the login form!)

 

 

/**

 * Load hacks file if it exists

 */

if( file_exists($conf_path.'hacks.php') )