]> dev.renevier.net Git - syp.git/blob - api.php
forbird creation or deletion of item; forbids adding or deleting an image
[syp.git] / api.php
1 <?php
2 /* Copyright (c) 2009 Arnaud Renevier, Inc, published under the modified BSD
3    license. */
4
5 require_once ("./inc/settings.php");
6 require_once ("./inc/db/mysql.php");
7 require_once ("./inc/utils.php");
8
9 function exit_document ($body) {
10     exit ("<html><head></head><body>$body</body></html>");
11 }
12
13 function success_auth () {
14     success ("auth");
15 }
16
17 function success_feature ($feature, $request) {
18     $res = "<success request=\"$request\"><feature>";
19     $res .= "<id>" .  $feature->id .  "</id>";
20
21     $res .= "<imgurl>" .
22              ($feature->imgpath ? 
23                     image_url_from_imgpath ($feature->imgpath)
24                     : "") .
25              "</imgurl>";
26
27     $res .= "<description>" .
28                  htmlspecialchars ($feature->description) .
29                  "</description>";
30
31     // XXX: we do not use <title> because that would be interpreted and
32     // altered by browers html parser
33     $res .= "<heading>" . 
34             htmlspecialchars ($feature->title) .
35             "</heading>";
36
37     $res .= "<lon>" . $feature->lon . "</lon>";
38     $res .= "<lat>" . $feature->lat . "</lat>";
39     $res .= "</feature></success>";
40     exit_document ($res);
41 }
42
43 function success_delete_feature ($feature) {
44     $res = "<success request=\"del\"><feature>";
45     $res .= "<id>" .  $feature->id .  "</id>";
46     $res .= "</feature></success>";
47     exit_document ($res);
48 }
49
50 function success ($reason) {
51     exit_document ("<success request=\"$reason\"></success>");
52 }
53
54 function error ($reason) {
55     exit_document ("<error reason=\"$reason\"></error>");
56 }
57
58 function error_feature ($id, $reason) {
59     $res = "<error reason=\"$reason\"><feature>";
60     $res .= "<id>" .  $id .  "</id>";
61     $res .= "</feature></error>";
62     exit_document ($res);
63 }
64
65 function nochange_error ($id) {
66     error_feature ($id, "nochange");
67 }
68 function unreferenced_error ($id) {
69     error_feature ($id, "unreferenced");
70 }
71
72 function server_error () {
73     error ("server");
74 }
75
76 function unauthorized_error () {
77     error ("unauthorized");
78 }
79
80 function request_error () {
81     error ("request");
82 }
83
84 function file_too_big_error () {
85     error ("toobig");
86 }
87
88 function notanimage_error () {
89     error ("notimage");
90 }
91
92 function save_uploaded_file ($file, $con) {
93     $dest = "";
94     if (isset ($file) && ($file ["error"] != UPLOAD_ERR_NO_FILE)) {
95         img_check_upload ($file);
96         $dest = unique_file (UPLOADDIR, $file ["name"], $con);
97         if (!isset ($dest) || 
98                 (!move_uploaded_file ($file ["tmp_name"], $dest))) {
99             server_error ();
100         }
101         $mini_dest = getthumbsdir () . "/mini_" . basename_safe ($dest);
102
103         if (!create_thumbnail_or_copy ($dest, $mini_dest)) {
104             server_error ();
105         }
106     }
107     return basename_safe ($dest);
108 }
109
110 function img_check_upload ($file) {
111     if (!is_uploaded_file ($file ["tmp_name"])) {
112         if ($file ["error"] ==  UPLOAD_ERR_INI_SIZE) {
113             file_too_big_error ();
114         } else {
115             server_error ();
116         }
117     }
118     if (!getimagesize ($file ["tmp_name"])) {
119         notanimage_error ();
120     }
121 }
122
123 function delete_image_if_unused ($imgpath, $con) {
124     if (!isset ($imgpath) || (strlen ($imgpath) == 0)) {
125         return;
126     }
127     if ($con->imgpath_exists ($imgpath)) {
128         return;
129     }
130
131     $path = UPLOADDIR . "/" . $imgpath;
132     if (file_exists ($path)) {
133         unlink ($path);
134     }
135
136     $thumb_path = getthumbsdir () . "/mini_" . $imgpath;
137     if (file_exists ($thumb_path)) {
138         unlink ($thumb_path);
139     }
140 }
141
142 function unique_file ($dirname, $relpath, $con) {
143    $relpath = str_replace ('/', '', $relpath); // strip slashes from path
144    $relpath = str_replace ('\\', '', $relpath); // strip antislashes from path
145    $filename = $dirname . '/' . $relpath;
146    $counter = 1;
147
148    $dotpos = strrpos ($relpath, '.');
149    if ($dotpos) {
150        $base = substr ($relpath, 0, $dotpos);
151        $ext = substr ($relpath, $dotpos + 1);
152    } else {
153        $base = $relpath;
154        $ext = "";
155    }
156
157    while ($counter < 1000) {
158        if (!file_exists ($filename) && 
159            !($con->imgpath_exists (basename_safe ($filename)))) {
160            return $filename;
161        } else {
162             $counter++;
163             $filename = $dirname . '/' . $base . '_' . $counter . '.' . $ext;
164        }
165    }
166    // we tried to find an unused filename 1000 times. Give up now.
167    return null;
168 }
169
170 function check_auth ($con, $pwd, $cookie_name, $auth_only) {
171     $authentificated = false;
172     $user = "admin";
173
174     if ($pwd) {
175         if ($con->checkpwdmd5 ($user, md5 ($pwd))) {
176             // cookie will be valid for 2 weeks. I've chosen that value
177             // arbitrarily, and it may change in the future.
178             $time = time () + 14 * 60 * 24 * 60;
179             setcookie ($cookie_name, md5 ($pwd), $time, "" , "", false, true);
180             $authentificated = true;
181             if ($auth_only) {
182                 success_auth ();
183             }
184         } else {
185             unauthorized_error ();
186         }
187     }
188
189     if (!$authentificated && !($con->checkpwdmd5 ($user,
190                              $_COOKIE [$cookie_name]))) {
191         unauthorized_error ();
192     }
193 }
194
195 function main ($con) {
196     if (!isset ($_POST ["request"])) {
197         request_error ();
198     }
199
200     $pwd = unquote ($_POST["password"]);
201     $cookie_name = sprintf ("%sauth", DBPREFIX);
202     // does user only want authentication or does he want to do other things
203     $auth_only = ($_POST ["request"] == "auth");
204     check_auth ($con, $pwd, $cookie_name, $auth_only);
205
206     switch ($_POST ["request"]) {
207         case "update":
208             $id = $_POST ["fid"];
209             $feature = $con->getfeature ($id);
210             if (!isset ($feature)) {
211                 unreferenced_error ($id);
212             }
213
214             // no file uploaded, but editor currently has an image: it means
215             // image was not changed
216             if ($_POST ["keep_img"] == "yes") {
217                 $imgpath = $feature->imgpath;
218             } else {
219                 request_error ();
220                 $imgpath = save_uploaded_file ($_FILES ["image_file"], $con);
221             }
222
223             $lon = $_POST ["lon"];
224             $lat = $_POST ["lat"];
225             $title = unquote ($_POST ["title"]);
226             $description = unquote ($_POST ["description"]);
227
228             try {
229                 $new_feature = new feature ($id, $lon, $lat, $imgpath, $title, $description, 0);
230             } catch (Exception $e) {
231                 request_error ();
232             }
233
234             if (($new_feature->lon == $feature->lon) &&
235                 ($new_feature->lat == $feature->lat) &&
236                 ($new_feature->title == $feature->title) &&
237                 ($new_feature->imgpath == $feature->imgpath) &&
238                 ($new_feature->description == $feature->description)) {
239                 nochange_error ($feature->id);
240             }
241
242             $old_imgpath = "";
243             if ($feature->imgpath && ($feature->imgpath != $new_feature->imgpath)) {
244                 $old_imgpath = $feature->imgpath;
245             }
246
247             try {
248                 $con->save_feature ($new_feature);
249             } catch (Exception $e) {
250                 server_error ();
251             }
252             if ($old_imgpath) {
253                 try {
254                     delete_image_if_unused ($old_imgpath, $con); 
255                 } catch (Exception $e) {}
256             }
257             success_feature ($new_feature, "update");
258         break;
259         case "add":
260             request_error ();
261             $imgpath = save_uploaded_file ($_FILES ["image_file"], $con);
262
263             $lon = $_POST ["lon"];
264             $lat = $_POST ["lat"];
265             $title = unquote ($_POST ["title"]);
266             $description = unquote ($_POST ["description"]);
267             try {
268                 $feature = new feature (null, $lon, $lat, $imgpath, $title, $description, 0);
269             } catch (Exception $e) {
270                 request_error ();
271             }
272             try {
273                 $feature = $con->save_feature ($feature);
274             } catch (Exception $e) {
275                 server_error ();
276             }
277             success_feature ($feature, "add");
278         break;
279         case "del":
280             request_error ();
281             $id = $_POST ["fid"];
282             $feature = $con->getfeature ($id);
283             if (!isset ($feature)) {
284                 unreferenced_error ($id);
285             }
286             $imgpath = $feature->imgpath;
287
288             try {
289                 $con->delete_feature ($feature);
290             } catch (Exception $e) {
291                 server_error ();
292             }
293
294             try {
295                 delete_image_if_unused ($imgpath, $con);
296             } catch (Exception $e) {}
297
298             success_delete_feature ($feature);
299         default:
300             request_error();
301         break;
302     }
303
304     server_error ();
305 }
306
307 try {
308     $connection->connect (DBHOST, DBUSER, DBPWD, DBNAME, DBPREFIX);
309 } catch (Exception $e) {
310     server_error ();
311 }
312
313 main ($connection);
314 ?>