home *** CD-ROM | disk | FTP | other *** search
/ PC World 2008 April (DVD) / PCWorld_2008-04_DVD.iso / temadvd / phpbb / phpBB-2.0.22.exe / phpBB2 / common.php next >
Encoding:
PHP Script  |  2006-12-19  |  6.5 KB  |  236 lines
  1. <?php
  2. /***************************************************************************
  3.  *                                common.php
  4.  *                            -------------------
  5.  *   begin                : Saturday, Feb 23, 2001
  6.  *   copyright            : (C) 2001 The phpBB Group
  7.  *   email                : support@phpbb.com
  8.  *
  9.  *   $Id: common.php,v 1.74.2.25 2006/05/26 17:46:59 grahamje Exp $
  10.  *
  11.  ***************************************************************************/
  12.  
  13. /***************************************************************************
  14.  *
  15.  *   This program is free software; you can redistribute it and/or modify
  16.  *   it under the terms of the GNU General Public License as published by
  17.  *   the Free Software Foundation; either version 2 of the License, or
  18.  *   (at your option) any later version.
  19.  *
  20.  ***************************************************************************/
  21.  
  22. if ( !defined('IN_PHPBB') )
  23. {
  24.     die("Hacking attempt");
  25. }
  26.  
  27. //
  28. error_reporting  (E_ERROR | E_WARNING | E_PARSE); // This will NOT report uninitialized variables
  29. set_magic_quotes_runtime(0); // Disable magic_quotes_runtime
  30.  
  31. // The following code (unsetting globals)
  32. // Thanks to Matt Kavanagh and Stefan Esser for providing feedback as well as patch files
  33.  
  34. // PHP5 with register_long_arrays off?
  35. if (@phpversion() >= '5.0.0' && (!@ini_get('register_long_arrays') || @ini_get('register_long_arrays') == '0' || strtolower(@ini_get('register_long_arrays')) == 'off'))
  36. {
  37.     $HTTP_POST_VARS = $_POST;
  38.     $HTTP_GET_VARS = $_GET;
  39.     $HTTP_SERVER_VARS = $_SERVER;
  40.     $HTTP_COOKIE_VARS = $_COOKIE;
  41.     $HTTP_ENV_VARS = $_ENV;
  42.     $HTTP_POST_FILES = $_FILES;
  43.  
  44.     // _SESSION is the only superglobal which is conditionally set
  45.     if (isset($_SESSION))
  46.     {
  47.         $HTTP_SESSION_VARS = $_SESSION;
  48.     }
  49. }
  50.  
  51. // Protect against GLOBALS tricks
  52. if (isset($HTTP_POST_VARS['GLOBALS']) || isset($HTTP_POST_FILES['GLOBALS']) || isset($HTTP_GET_VARS['GLOBALS']) || isset($HTTP_COOKIE_VARS['GLOBALS']))
  53. {
  54.     die("Hacking attempt");
  55. }
  56.  
  57. // Protect against HTTP_SESSION_VARS tricks
  58. if (isset($HTTP_SESSION_VARS) && !is_array($HTTP_SESSION_VARS))
  59. {
  60.     die("Hacking attempt");
  61. }
  62.  
  63. if (@ini_get('register_globals') == '1' || strtolower(@ini_get('register_globals')) == 'on')
  64. {
  65.     // PHP4+ path
  66.     $not_unset = array('HTTP_GET_VARS', 'HTTP_POST_VARS', 'HTTP_COOKIE_VARS', 'HTTP_SERVER_VARS', 'HTTP_SESSION_VARS', 'HTTP_ENV_VARS', 'HTTP_POST_FILES', 'phpEx', 'phpbb_root_path');
  67.  
  68.     // Not only will array_merge give a warning if a parameter
  69.     // is not an array, it will actually fail. So we check if
  70.     // HTTP_SESSION_VARS has been initialised.
  71.     if (!isset($HTTP_SESSION_VARS) || !is_array($HTTP_SESSION_VARS))
  72.     {
  73.         $HTTP_SESSION_VARS = array();
  74.     }
  75.  
  76.     // Merge all into one extremely huge array; unset
  77.     // this later
  78.     $input = array_merge($HTTP_GET_VARS, $HTTP_POST_VARS, $HTTP_COOKIE_VARS, $HTTP_SERVER_VARS, $HTTP_SESSION_VARS, $HTTP_ENV_VARS, $HTTP_POST_FILES);
  79.  
  80.     unset($input['input']);
  81.     unset($input['not_unset']);
  82.  
  83.     while (list($var,) = @each($input))
  84.     {
  85.         if (in_array($var, $not_unset))
  86.         {
  87.             die('Hacking attempt!');
  88.         }
  89.         unset($$var);
  90.     }
  91.  
  92.     unset($input);
  93. }
  94.  
  95. //
  96. // addslashes to vars if magic_quotes_gpc is off
  97. // this is a security precaution to prevent someone
  98. // trying to break out of a SQL statement.
  99. //
  100. if( !get_magic_quotes_gpc() )
  101. {
  102.     if( is_array($HTTP_GET_VARS) )
  103.     {
  104.         while( list($k, $v) = each($HTTP_GET_VARS) )
  105.         {
  106.             if( is_array($HTTP_GET_VARS[$k]) )
  107.             {
  108.                 while( list($k2, $v2) = each($HTTP_GET_VARS[$k]) )
  109.                 {
  110.                     $HTTP_GET_VARS[$k][$k2] = addslashes($v2);
  111.                 }
  112.                 @reset($HTTP_GET_VARS[$k]);
  113.             }
  114.             else
  115.             {
  116.                 $HTTP_GET_VARS[$k] = addslashes($v);
  117.             }
  118.         }
  119.         @reset($HTTP_GET_VARS);
  120.     }
  121.  
  122.     if( is_array($HTTP_POST_VARS) )
  123.     {
  124.         while( list($k, $v) = each($HTTP_POST_VARS) )
  125.         {
  126.             if( is_array($HTTP_POST_VARS[$k]) )
  127.             {
  128.                 while( list($k2, $v2) = each($HTTP_POST_VARS[$k]) )
  129.                 {
  130.                     $HTTP_POST_VARS[$k][$k2] = addslashes($v2);
  131.                 }
  132.                 @reset($HTTP_POST_VARS[$k]);
  133.             }
  134.             else
  135.             {
  136.                 $HTTP_POST_VARS[$k] = addslashes($v);
  137.             }
  138.         }
  139.         @reset($HTTP_POST_VARS);
  140.     }
  141.  
  142.     if( is_array($HTTP_COOKIE_VARS) )
  143.     {
  144.         while( list($k, $v) = each($HTTP_COOKIE_VARS) )
  145.         {
  146.             if( is_array($HTTP_COOKIE_VARS[$k]) )
  147.             {
  148.                 while( list($k2, $v2) = each($HTTP_COOKIE_VARS[$k]) )
  149.                 {
  150.                     $HTTP_COOKIE_VARS[$k][$k2] = addslashes($v2);
  151.                 }
  152.                 @reset($HTTP_COOKIE_VARS[$k]);
  153.             }
  154.             else
  155.             {
  156.                 $HTTP_COOKIE_VARS[$k] = addslashes($v);
  157.             }
  158.         }
  159.         @reset($HTTP_COOKIE_VARS);
  160.     }
  161. }
  162.  
  163. //
  164. // Define some basic configuration arrays this also prevents
  165. // malicious rewriting of language and otherarray values via
  166. // URI params
  167. //
  168. $board_config = array();
  169. $userdata = array();
  170. $theme = array();
  171. $images = array();
  172. $lang = array();
  173. $nav_links = array();
  174. $dss_seeded = false;
  175. $gen_simple_header = FALSE;
  176.  
  177. include($phpbb_root_path . 'config.'.$phpEx);
  178.  
  179. if( !defined("PHPBB_INSTALLED") )
  180. {
  181.     header('Location: ' . $phpbb_root_path . 'install/install.' . $phpEx);
  182.     exit;
  183. }
  184.  
  185. include($phpbb_root_path . 'includes/constants.'.$phpEx);
  186. include($phpbb_root_path . 'includes/template.'.$phpEx);
  187. include($phpbb_root_path . 'includes/sessions.'.$phpEx);
  188. include($phpbb_root_path . 'includes/auth.'.$phpEx);
  189. include($phpbb_root_path . 'includes/functions.'.$phpEx);
  190. include($phpbb_root_path . 'includes/db.'.$phpEx);
  191.  
  192. // We do not need this any longer, unset for safety purposes
  193. unset($dbpasswd);
  194.  
  195. //
  196. // Obtain and encode users IP
  197. //
  198. // I'm removing HTTP_X_FORWARDED_FOR ... this may well cause other problems such as
  199. // private range IP's appearing instead of the guilty routable IP, tough, don't
  200. // even bother complaining ... go scream and shout at the idiots out there who feel
  201. // "clever" is doing harm rather than good ... karma is a great thing ... :)
  202. //
  203. $client_ip = ( !empty($HTTP_SERVER_VARS['REMOTE_ADDR']) ) ? $HTTP_SERVER_VARS['REMOTE_ADDR'] : ( ( !empty($HTTP_ENV_VARS['REMOTE_ADDR']) ) ? $HTTP_ENV_VARS['REMOTE_ADDR'] : getenv('REMOTE_ADDR') );
  204. $user_ip = encode_ip($client_ip);
  205.  
  206. //
  207. // Setup forum wide options, if this fails
  208. // then we output a CRITICAL_ERROR since
  209. // basic forum information is not available
  210. //
  211. $sql = "SELECT *
  212.     FROM " . CONFIG_TABLE;
  213. if( !($result = $db->sql_query($sql)) )
  214. {
  215.     message_die(CRITICAL_ERROR, "Could not query config information", "", __LINE__, __FILE__, $sql);
  216. }
  217.  
  218. while ( $row = $db->sql_fetchrow($result) )
  219. {
  220.     $board_config[$row['config_name']] = $row['config_value'];
  221. }
  222.  
  223. if (file_exists('install') || file_exists('contrib'))
  224. {
  225.     message_die(GENERAL_MESSAGE, 'Please_remove_install_contrib');
  226. }
  227.  
  228. //
  229. // Show 'Board is disabled' message if needed.
  230. //
  231. if( $board_config['board_disable'] && !defined("IN_ADMIN") && !defined("IN_LOGIN") )
  232. {
  233.     message_die(GENERAL_MESSAGE, 'Board_disable', 'Information');
  234. }
  235.  
  236. ?>