Context Navigation

source: admin/WebConsole/controlpostacceso.php @ 09b8452

Visit:

configure-oglivelgromero-new-oglivemainmount-efivarfsmultivmmultivm-ogboot-installerogClonningEngineoglive-ipv6test-python-scriptsticket-577ticket-585ticket-611ticket-612ticket-693ticket-700ubu24tplunification2use-local-agent-oglivevarios-instalacion

Last change on this file since 09b8452 was d3ec014, checked in by Irina Gómez <irinagomez@…>, 11 months ago
Resolves vulnerabilities CVE-2024-3704, CVE-2024-3705, CVE-2024-3706 y CVE-2024-3707.
Property mode set to `100644`
File size: 8.6 KB

Line
1	<?php
2	// ********************************************************************
3	// Aplicación WEB: ogAdmWebCon
4	// Autor: José Manuel Alonso (E.T.S.I.I.) Universidad de Sevilla
5	// Fecha Creación: Diciembre-2003
6	// Fecha Última modificación: Febrero-2005
7	// Nombre del fichero: controlacceso.php
8	// Descripción :Este fichero implementa el control de acceso a la aplicación
9	// *********************************************************************
10	include_once("controlacceso.php");
11	include_once("./includes/CreaComando.php");
12	include_once("./clases/AdoPhp.php");
13	#include_once("idiomas/php/$idi/acceso_$idi.php");
14	//________________________________________________________________________________________________________
15	$usu="";
16	$pss="";
17	$ident="";
18	$idc=0;
19	$iph=""; // Switch menu cliente
20	$adminetboot="";
21
22	if (isset($_GET["iph"])) $iph=$_GET["iph"];
23	//________________________________________________________________________________________________________
24	$cmd=CreaComando($cnx); // Crea objeto comando
25	if (!$cmd)
26	die($TbMsg["ACCESS_ERROR"]);
27	//________________________________________________________________________________________________________
28
29	if (isset($_POST["usu"])) $usu=mysqli_escape_string($cmd->Conexion->controlador, $_POST["usu"]);
30	if (isset($_POST["pss"])) $pss=mysqli_escape_string($cmd->Conexion->controlador, $_POST["pss"]);
31	if (isset($_POST["idcentro"])) $idc=mysqli_escape_string($cmd->Conexion->controlador, $_POST["idcentro"]);
32
33	if ($idc != 0)
34	{
35	$rs=new Recordset;
36	$cmd->texto="SELECT * FROM centros WHERE idcentro=".$idc;
37	$rs->Comando=&$cmd;
38	if (!$rs->Abrir()) return(false); // Error al abrir recordset
39	$rs->Primero();
40	if (!$rs->EOF){
41	$ident=$rs->campos["identidad"];
42	}$rs->Cerrar();
43	}
44
45	//________________________________________________________________________________________________________
46
47
48	$nmc="";
49	$idi="";
50
51	if(!empty($iph)){ // LLamada del browser del cliente
52	list($wip,$wusu,$wpwd,$wbd,$tbd)=explode(";",$cnx);
53	$usu=$wusu;
54	$pss=$wpwd;
55	}
56
57	$resul=toma_datos($cmd,$idc,$nmc,$idi,$usu,$tsu,$pss);
58	// Antes la variable idioma no es la correcta
59	include_once("idiomas/php/$idi/acceso_$idi.php");
60	if(!$resul)
61	Header("Location: ".$wac."?herror=4"); // Error de conexión con servidor B.D.
62
63	if(!empty($iph)){
64	$wurl="./varios/menucliente.php";
65	Header("Location:".$wurl); // Accede a la página de menus
66	}
67
68
69	session_start(); // Activa variables de sesión
70
71	$_SESSION["widentidad"]=$ident;
72	$_SESSION["widcentro"]=$idc;
73	$_SESSION["wnombrecentro"]=$nmc;
74	$_SESSION["wusuario"]=$usu;
75	$_SESSION["widtipousuario"]=$tsu;
76	$_SESSION["widioma"]=$idi;
77	$_SESSION["wcadenaconexion"]=$cnx;
78	$_SESSION["wpagerror"]=$wer;
79	$_SESSION["wurlacceso"]=$wac;
80	$_SESSION["wadminetboot"]=$adminetboot;
81
82	// Variables de entorno
83	$resul=toma_entorno($cmd,$ips,$prt,$pclo,$rep);
84	if(!$resul)
85	Header("Location: ".$wac."?herror=4"); // Error de conexión con servidor B.D.
86
87	$_SESSION["wservidorhidra"]=$ips;
88	$_SESSION["whidraport"]=$prt;
89	$_SESSION["protclonacion"]=$pclo;
90	$_SESSION["repcentralizado"]=$rep;
91
92	//________________________________________________________________________________________________________
93	// Busca datos del usuario que intenta acceder a la aplicación
94	// Parámetros:
95	// - cmd:Una comando ya operativo (con conexión abierta)
96	// - usuario: Nombre del usuario
97	// - pasguor: Password del uuario
98	//
99	// Devuelve el identificador del centro, el nombre y el idioma utilizado por el usuario
100	//_______________________________________________________________________________________________________
101	function toma_datos($cmd,$idcentro,&$nombrecentro,&$idioma,$usuario,&$idtipousuario,$pasguor){
102	global $adminetboot;
103
104	if(!empty($idcentro)){
105	$sql = "SELECT usuarios.idtipousuario, centros.nombrecentro, idiomas.nemonico AS idioma
106	FROM usuarios
107	INNER JOIN administradores_centros ON administradores_centros.idusuario=usuarios.idusuario
108	INNER JOIN centros ON centros.idcentro=administradores_centros.idcentro
109	INNER JOIN idiomas ON usuarios.ididioma=idiomas.ididioma
110	WHERE usuarios.idtipousuario <> 3
111	AND usuarios.usuario = ?
112	AND usuarios.pasguor=SHA2( ?, 224)
113	AND administradores_centros.idcentro = ?;";
114	$statement = $cmd->Conexion->controlador->prepare ($sql) or die ("Failed to prepared the statement!");
115	$statement->bind_param('ssi', $usuario,$pasguor,$idcentro);
116
117	}
118	else{
119	$sql = "SELECT usuarios.idtipousuario, idiomas.nemonico AS idioma
120	FROM usuarios
121	INNER JOIN idiomas ON usuarios.ididioma=idiomas.ididioma
122	WHERE idtipousuario <> 3
123	AND usuarios.usuario = ?
124	AND usuarios.pasguor=SHA2( ? , 224)";
125	$statement = $cmd->Conexion->controlador->prepare ($sql) or die ("Failed to prepared the statement!");
126	$statement->bind_param('ss', $usuario,$pasguor);
127	}
128
129	$statement->execute();
130	$result = $statement->get_result()->fetch_assoc();;
131
132	if (empty($result)){
133	// No existe el usuario
134	return(false);
135	} else {
136	$idtipousuario=$result["idtipousuario"];
137	$adminetboot=$idtipousuario;
138	$idioma=$result["idioma"];
139	if(!empty($idcentro)){
140	$nombrecentro=$result["nombrecentro"];
141	$idtipousuario=2; // Fuerza al acceso como administrador de UNidad organizativa
142	return(true);
143	} else {
144	$nombrecentro="";
145	if($idtipousuario<>1) // Si NO es superadminsitrador
146	return(false);
147	else
148	return(true);
149	}
150
151	}
152	return(false);
153	}
154	//________________________________________________________________________________________________________
155	// Busca datos de configuración del sistema
156	// Paráametros:
157	// - cmd:Una comando ya operativo (con conexión abierta)
158	// - ips: Dirección IP del servidor de administración
159	// - prt: Puerto de comunicaciones
160	// - pclo: Protocolo de clonación
161	// - rep: Uso de repositorio centralizado
162	//
163	// Devuelve datos generales de configuración del sistema
164	//_______________________________________________________________________________________________________
165	function toma_entorno($cmd,&$ips,&$prt,&$pclo,&$rep){
166	$rs=new Recordset;
167	$cmd->texto="SELECT * FROM entornos";
168	$rs->Comando=&$cmd;
169	if (!$rs->Abrir()) return(false); // Error al abrir recordset
170	if(!$rs->EOF){
171	$ips=$rs->campos["ipserveradm"];
172	$prt=$rs->campos["portserveradm"];
173	$pclo=$rs->campos["protoclonacion"];
174	//$rep=$rs->campos["repositorio"];
175	}
176	return(true);
177	}
178	//_______________________________________________________________________________________________________
179	// Muestra mensaje de alerta si no existe repositorio en la unidad organizativa
180	// Parámetros:
181	// - cmd:Una comando ya operativo (con conexión abierta)
182	// - idcentro: identificador de la unidad organizativa
183	//_______________________________________________________________________________________________________
184	function alert_norepo($cmd, $idcentro,$mensaje){
185	// Si entramos en la parte administrativo no se muestra mensaje
186	if ($idcentro == 0) return;
187
188	$idrepositorio = '';
189	$rs=new Recordset;
190	$cmd->texto="SELECT idrepositorio FROM repositorios ".
191	" WHERE idcentro=$idcentro LIMIT 1;";
192	$rs->Comando=&$cmd;
193	if ($rs->Abrir()) {
194	$rs->Primero();
195	$idrepositorio = $rs->campos["idrepositorio"];
196	}
197	$rs->Cerrar();
198	if ($idrepositorio == '') {
199	echo 'alert("'.$mensaje.'");';
200	}
201	return;
202
203	}
204	?>
205	<html>
206	<head>
207	<title><?php echo $TbMsg["ACCESS_TITLE"] ?></title>
208	<meta http-equiv="Content-Type" content="text/html;charset=UTF-8">
209	<link rel="stylesheet" type="text/css" href="estilos.css">
210	</head>
211
212	<body>
213	<div id="mensaje" style="position:absolute;TOP:250px;LEFT:330px; visibility:visible; text-align: center">
214	<span class="subcabeceras"><?php echo $TbMsg["ACCESS_ALLOWED"] ?></span>
215	</div>
216	<script language="javascript">
217	var vez=0;
218	setTimeout("acceso();",300);
219
220	function acceso(){
221	var o=document.getElementById("mensaje");
222	var s=o.style.visibility;
223	if(s==="hidden")
224	o.style.visibility="visible";
225	else
226	o.style.visibility="hidden";
227	if(vez>5){
228	var w=window.top;
229	w.location="frames.php";
230	}
231	vez++;
232	setTimeout("acceso();",300);
233	}
234	<?php alert_norepo($cmd, $idc,$TbMsg["WARN_NOREPO"]) ?>;
235	</script>
236	</body>
237	</html>

Note: See TracBrowser for help on using the repository browser.

Download in other formats: