Improved handling of passwords (encrypt upon storage, clear when fetched)
[misc/kostenrechnung] / ajax / ajax.php
1 <?php
2
3 require_once('../init.php');
4
5 function fetch($mask)
6 {
7   $fields = array('sys_edit', 'sys_user');
8   foreach ($mask['edit'] as $field => $info)
9     if ($info['type'] != 'passwd')
10       $fields[] = $field;
11
12   $sql = sprintf('SELECT id,%s FROM %s WHERE id = %d',
13                  implode(',', $fields),
14                  $mask['table'], $_POST['id']);
15
16   $sth = pg_query($sql);
17   if ($sth === false) return false;
18
19   $row = pg_fetch_assoc($sth);
20
21   foreach ($mask['edit'] as $field => $info)
22     if ($info['type'] == 'boolean')
23       $row[$field] = $row[$field]?true:false;
24     elseif ($info['type'] == 'passwd')
25       $row[$field] = '';
26     elseif (array_key_exists('format', $info))
27       $row[$field] = sprintf($info['format'], $row[$field]);
28
29   return $row;
30 }
31
32 function details($mask)
33 {
34   if (empty($_POST['id']))
35     return array('error' => 'Missing ID');
36
37   $sql = sprintf('SELECT id,%s FROM %s WHERE id = %d',
38                  implode(',', array_keys($mask['details']['list'])),
39                  $mask['table'], $_POST['id']);
40
41   $sth = pg_query($sql);
42
43   if (!$sth)
44     return array('error' => pg_last_error(),
45                  'sql' => $sql);
46
47   $row = pg_fetch_assoc($sth);
48
49   foreach ($mask['details']['list'] as $field => $info)
50     if (array_key_exists('format', $info))
51       $row[$field] = sprintf($info['format'], $row[$field]);
52
53   return $row;
54 }
55
56 function save($mask)
57 {
58   if (empty($_POST['id']))
59     return array('error' => 'Missing ID');
60
61   $update = array(sprintf("sys_user = '%s'", pg_escape_string($_SESSION['sys']['login'])),
62                   "sys_edit = now()");
63
64   foreach ($mask['edit'] as $field => $info)
65     if ($info['type'] == 'boolean') {
66       $update[] = sprintf("%s=%d", $field, $_POST[$field] == 'on'?1:0);
67     } elseif ($info['type'] == 'number') {
68       $update[] = sprintf("%s=%d", $field, $_POST[$field]);
69     } elseif ($info['type'] == 'passwd') {
70       if (!empty($_POST[$field]))
71         $update[] = sprintf("%s='%s'", $field, pg_escape_string(passwd($_SESSION['sys']['login'],$_POST[$field])));
72     } else {
73       $update[] = sprintf("%s='%s'", $field, pg_escape_string($_POST[$field]));
74     }
75
76   $sql = 'UPDATE ' . $mask['table'] . ' SET ';
77   $sql .= implode(', ', $update);
78   $sql .= ' WHERE id = ' . intval($_POST['id']);
79
80   $sth = pg_query($sql);
81
82   if ($sth === false) {
83     error_log($sql . ': ' . pg_last_error());
84     return array('error' => pg_last_error(),
85                  'sql' => $sql);
86   }
87
88   return array('status' => true);
89 }
90
91 function insert($mask)
92 {
93   $fields = array('sys_user','sys_edit');
94   $values = array("'".pg_escape_string($_SESSION['sys']['login'])."'", 'now()');
95
96   foreach ($mask['edit'] as $field => $info)
97     if ($info['type'] == 'boolean') {
98       $fields[] = $field;
99       $values[] = $_POST[$field] == 'on'?1:0;
100     } elseif ($info['type'] == 'number') {
101       $fields[] = $field;
102       $values[] = intval($_POST[$field]);
103     } elseif ($info['type'] == 'passwd') {
104       if (!empty($_POST[$field])) {
105         $fields[] = $field;
106         $values[] = sprintf("'%s'", pg_escape_string(passwd($_SESSION['sys']['login'],$_POST[$field])));
107       }
108     } else {
109       $fields[] = $field;
110       $values[] = sprintf("'%s'", pg_escape_string($_POST[$field]));
111     }
112
113   $sql = 'INSERT INTO ' . $mask['table'] . ' (' . implode(',', $fields) . ') ';
114   $sql .= 'VALUES (' . implode(',', $values) . ')';
115
116   $sth = pg_query($sql);
117
118   if ($sth === false) {
119     error_log($sql . ': ' . pg_last_error());
120     return array('error' => pg_last_error(),
121                  'sql' => $sql);
122   }
123
124   return array('status' => true);
125 }
126
127 function delete_or_copy($mask)
128 {
129   if (empty($_POST['id']))
130     return array('error' => 'Missing ID');
131
132   if (DELETE_COPY === true) {
133     $sql = sprintf("INSERT INTO %s_deleted SELECT * FROM %s WHERE id = %d",
134                    $mask['table'], $mask['table'], $_POST['id']);
135
136     $sth = pg_query($sql);
137
138     if ($sth === false) {
139       error_log($sql . ': ' . pg_last_error());
140       return array('error' => pg_last_error(),
141                    'sql' => $sql);
142     }
143
144     $sql = sprintf("UPDATE %s_deleted SET sys_user='%s',sys_edit=now() WHERE id = %d",
145                    $mask['table'], $_SESSION['sys']['login'], $_POST['id']);
146
147     $sth = pg_query($sql);
148
149     if ($sth === false) {
150       error_log($sql . ': ' . pg_last_error());
151       return array('error' => pg_last_error(),
152                    'sql' => $sql);
153     }
154   }
155
156   $sql = sprintf("DELETE FROM %s WHERE id = %d", $mask['table'], $_POST['id']);
157
158   $sth = pg_query($sql);
159
160   if ($sth === false) {
161     error_log($sql . ': ' . pg_last_error());
162     return array('error' => pg_last_error(),
163                  'sql' => $sql);
164   }
165
166   return array('status' => true);
167 }
168
169 function format_ajax($data)
170 {
171   header('Content-type: application/json; charset=UTF-8');
172   echo json_encode($data);
173   exit;
174 }
175
176 if (empty($_POST['func']))
177   exit;
178
179 if (empty($_POST['source']))
180   exit;
181
182 connect_db();
183 if (load_mask($_POST['source']) === false) exit;
184
185 $data = array('error' => 'Unknown function');
186
187 if ($_POST['func'] == 'fetch') {
188   $data = fetch($mask);
189 } elseif ($_POST['func'] == 'details') {
190   $data = details($mask);
191 } elseif ($_POST['func'] == 'save') {
192   $data = save($mask);
193 } elseif ($_POST['func'] == 'insert') {
194   $data = insert($mask);
195 } elseif ($_POST['func'] == 'delete') {
196   $data = delete_or_copy($mask);
197 }
198
199 format_ajax($data);
200
201 ?>