]> git.p6c8.net - jirafeau_project.git/blobdiff - lib/functions.php
[BUGFIX] Add CSRF protection for admin
[jirafeau_project.git] / lib / functions.php
index 3a50eac828cc42fa58cb46e6c53d910371dbd3eb..9fa0e5edd90a99de3d7a936250bf307afa3115aa 100644 (file)
@@ -628,16 +628,19 @@ function jirafeau_admin_list($name, $file_hash, $link_hash)
                 '<form method="post">' .
                 '<input type = "hidden" name = "action" value = "download"/>' .
                 '<input type = "hidden" name = "link" value = "' . $node . '"/>' .
+                jirafeau_admin_csrf_field() .
                 '<input type = "submit" value = "' . t('DL') . '" />' .
                 '</form>' .
                 '<form method="post">' .
                 '<input type = "hidden" name = "action" value = "delete_link"/>' .
                 '<input type = "hidden" name = "link" value = "' . $node . '"/>' .
+                jirafeau_admin_csrf_field() .
                 '<input type = "submit" value = "' . t('DEL_LINK') . '" />' .
                 '</form>' .
                 '<form method="post">' .
                 '<input type = "hidden" name = "action" value = "delete_file"/>' .
                 '<input type = "hidden" name = "md5" value = "' . $l['md5'] . '"/>' .
+                jirafeau_admin_csrf_field() .
                 '<input type = "submit" value = "' . t('DEL_FILE_LINKS') . '" />' .
                 '</form>' .
                 '</td>';
@@ -1248,3 +1251,29 @@ function jirafeau_escape($string)
 {
     return htmlspecialchars($string, ENT_QUOTES);
 }
+
+function jirafeau_admin_session_start()
+{
+    $_SESSION['admin_auth'] = true;
+    $_SESSION['admin_csrf'] = md5(uniqid(mt_rand(), true));
+}
+
+function jirafeau_admin_session_end()
+{
+    $_SESSION = array();
+    session_destroy();
+}
+
+function jirafeau_admin_session_logged()
+{
+    return isset($_SESSION['admin_auth']) &&
+           isset($_SESSION['admin_csrf']) &&
+           isset($_POST['admin_csrf']) &&
+           $_SESSION['admin_auth'] === true &&
+           $_SESSION['admin_csrf'] === $_POST['admin_csrf'];
+}
+
+function jirafeau_admin_csrf_field()
+{
+    return "<input type='hidden' name='admin_csrf' value='". $_SESSION['admin_csrf'] . "'/>";
+}

patrick-canterino.de