fixing editing dns, mail, db and web domain servers by client issue

Sebastien JEAN

2013-11-18 f19308703c8769cd943dfcef416484c3353fd5fb

 interface/web/dns/dns_wizard.php

@@ -46,14 +46,18 @@
$sys_groupid = (isset($_POST['client_group_id']))?$app->functions->intval($_POST['client_group_id']):0;

// get the correct server_id
if($_SESSION['s']['user']['typ'] == 'admin') {
   $server_id = (isset($_POST['server_id']))?$app->functions->intval($_POST['server_id']):1;
} else {
   $client_group_id = $_SESSION["s"]["user"]["default_group"];
   $client = $app->db->queryOneRecord("SELECT default_dnsserver FROM sys_group, client WHERE sys_group.client_id = client.client_id and sys_group.groupid = $client_group_id");
   $server_id = $client["default_dnsserver"];
if (isset($_POST['server_id'])) {
   $server_id = $app->functions->intval($_POST['server_id']);
   $post_server_id = true;
}

else if (isset($_POST['server_id_value'])) {
   $server_id = $app->functions->intval($_POST['server_id_value']);
   $post_server_id = true;
}
else {
   $server_id = 1;
   $post_server_id = false;
}

// Load the templates
$records = $app->db->queryAllRecords("SELECT * FROM dns_template WHERE visible = 'Y' ORDER BY name ASC");
@@ -81,14 +85,14 @@
   $app->tpl->setVar("server_id",$server_id_option);
   
   // load the list of clients
   $sql = "SELECT sys_group.groupid, sys_group.name, CONCAT(client.company_name,' :: ',client.contact_name) as contactname FROM sys_group, client WHERE sys_group.client_id = client.client_id AND sys_group.client_id > 0 ORDER BY sys_group.name";
   $sql = "SELECT sys_group.groupid, sys_group.name, CONCAT(IF(client.company_name != '', CONCAT(client.company_name, ' :: '), ''), client.contact_name, ' (', client.username, IF(client.customer_no != '', CONCAT(', ', client.customer_no), ''), ')') as contactname FROM sys_group, client WHERE sys_group.client_id = client.client_id AND sys_group.client_id > 0 ORDER BY sys_group.name";
   $clients = $app->db->queryAllRecords($sql);
   $client_select = '';
   if($_SESSION["s"]["user"]["typ"] == 'admin') $client_select .= "<option value='0'></option>";
   if(is_array($clients)) {
      foreach( $clients as $client) {
         $selected = ($client["groupid"] == $sys_groupid)?'SELECTED':'';
         $client_select .= "<option value='$client[groupid]' $selected>$client[name] :: $client[contactname]</option>\r\n";
         $client_select .= "<option value='$client[groupid]' $selected>$client[contactname]</option>\r\n";
      }
   }

@@ -99,24 +103,51 @@
   
   // Get the limits of the client
   $client_group_id = $_SESSION["s"]["user"]["default_group"];
   $client = $app->db->queryOneRecord("SELECT client.client_id, client.contact_name, CONCAT(client.company_name,' :: ',client.contact_name) as contactname, sys_group.name FROM sys_group, client WHERE sys_group.client_id = client.client_id and sys_group.groupid = $client_group_id");
   $client = $app->db->queryOneRecord("SELECT client.client_id, client.contact_name, CONCAT(IF(client.company_name != '', CONCAT(client.company_name, ' :: '), ''), client.contact_name, ' (', client.username, IF(client.customer_no != '', CONCAT(', ', client.customer_no), ''), ')') as contactname, sys_group.name FROM sys_group, client WHERE sys_group.client_id = client.client_id and sys_group.groupid = $client_group_id");

   
   // load the list of clients
   $sql = "SELECT sys_group.groupid, sys_group.name, CONCAT(client.company_name,' :: ',client.contact_name) as contactname FROM sys_group, client WHERE sys_group.client_id = client.client_id AND client.parent_client_id = ".$client['client_id'];
   $sql = "SELECT sys_group.groupid, sys_group.name, CONCAT(IF(client.company_name != '', CONCAT(client.company_name, ' :: '), ''), client.contact_name, ' (', client.username, IF(client.customer_no != '', CONCAT(', ', client.customer_no), ''), ')') as contactname FROM sys_group, client WHERE sys_group.client_id = client.client_id AND client.parent_client_id = ".$client['client_id'];
   $clients = $app->db->queryAllRecords($sql);
   $tmp = $app->db->queryOneRecord("SELECT groupid FROM sys_group WHERE client_id = ".$client['client_id']);
   $client_select = '<option value="'.$tmp['groupid'].'">'.$client['name'].' :: '.$client['contactname'].'</option>';
   $client_select = '<option value="'.$tmp['groupid'].'">'.$client['contactname'].'</option>';
   if(is_array($clients)) {
      foreach( $clients as $client) {
         $selected = ($client["groupid"] == $sys_groupid)?'SELECTED':'';
         $client_select .= "<option value='$client[groupid]' $selected>$client[name] :: $client[contactname]</option>\r\n";
         $client_select .= "<option value='$client[groupid]' $selected>$client[contactname]</option>\r\n";
      }
   }

   $app->tpl->setVar("client_group_id",$client_select);
}

if($_SESSION["s"]["user"]["typ"] != 'admin')
{
   $client_group_id = $_SESSION["s"]["user"]["default_group"];
   $client_dns = $app->db->queryOneRecord("SELECT dns_servers FROM sys_group, client WHERE sys_group.client_id = client.client_id and sys_group.groupid = $client_group_id");

   $client_dns['dns_servers_ids'] = explode(',', $client_dns['dns_servers']);

   $only_one_server = count($client_dns['dns_servers_ids']) === 1;
   $app->tpl->setVar('only_one_server', $only_one_server);

   if ($only_one_server) {
      $app->tpl->setVar('server_id_value', $client_dns['dns_servers_ids'][0]);
   }

   $sql = "SELECT server_id, server_name FROM server WHERE server_id IN (" . $client_dns['dns_servers'] . ");";
   $dns_servers = $app->db->queryAllRecords($sql);

   $options_dns_servers = "";

   foreach ($dns_servers as $dns_server) {
      $options_dns_servers .= "<option value='$dns_server[server_id]'>$dns_server[server_name]</option>";
   }

   $app->tpl->setVar("server_id", $options_dns_servers);
   unset($options_dns_servers);

}

$template_record = $app->db->queryOneRecord("SELECT * FROM dns_template WHERE template_id = '$template_id'");
$fields = explode(',',$template_record['fields']);
@@ -131,17 +162,56 @@
if($_POST['create'] == 1) {
   
   $error = '';

   if ($post_server_id) 
   {
      $client_group_id = $_SESSION["s"]["user"]["default_group"];
      $client = $app->db->queryOneRecord("SELECT dns_servers FROM sys_group, client WHERE sys_group.client_id = client.client_id and sys_group.groupid = $client_group_id");

      $client['dns_servers_ids'] = explode(',', $client['dns_servers']);

      // Check if chosen server is in authorized servers for this client
      if (!(is_array($client['dns_servers_ids']) && in_array($server_id, $client['dns_servers_ids'])) && $_SESSION["s"]["user"]["typ"] != 'admin') {
         $error .= $app->lng('error_not_allowed_server_id').'<br />';
      }
   }
   else
   {
      $error .= $app->lng('error_no_server_id').'<br />';
   }
	
   // apply filters
   if(isset($_POST['domain']) && $_POST['domain'] != ''){
      $_POST['domain'] = $app->functions->idn_encode($_POST['domain']);
      $_POST['domain'] = strtolower($_POST['domain']);
   }
   if(isset($_POST['ns1']) && $_POST['ns1'] != ''){
      $_POST['ns1'] = $app->functions->idn_encode($_POST['ns1']);
      $_POST['ns1'] = strtolower($_POST['ns1']);
   }
   if(isset($_POST['ns2']) && $_POST['ns2'] != ''){
      $_POST['ns2'] = $app->functions->idn_encode($_POST['ns2']);
      $_POST['ns2'] = strtolower($_POST['ns2']);
   }
   if(isset($_POST['email']) && $_POST['email'] != ''){
      $_POST['email'] = $app->functions->idn_encode($_POST['email']);
      $_POST['email'] = strtolower($_POST['email']);
   }
	
   
   if(isset($_POST['domain']) && $_POST['domain'] == '') $error .= $app->lng('error_domain_empty').'<br />';
   elseif(isset($_POST['domain']) && !preg_match('/^[\w\.\-]{2,64}\.[a-zA-Z0-9\-]{2,30}$/',$_POST['domain'])) $error .= $app->lng('error_domain_regex').'<br />';

   if(isset($_POST['ip']) && $_POST['ip'] == '') $error .= $app->lng('error_ip_empty').'<br />';

   if(isset($_POST['ns1']) && $_POST['ns1'] == '') $error .= $app->lng('error_ns1_empty').'<br />';
   elseif(isset($_POST['ns1']) && !preg_match('/^[\w\.\-]{2,64}\.[a-zA-Z0-9]{2,30}$/',$_POST['ns1'])) $error .= $app->lng('error_ns1_regex').'<br />';

   if(isset($_POST['ns2']) && $_POST['ns2'] == '') $error .= $app->lng('error_ns2_empty').'<br />';
   elseif(isset($_POST['ns2']) && !preg_match('/^[\w\.\-]{2,64}\.[a-zA-Z0-9]{2,30}$/',$_POST['ns2'])) $error .= $app->lng('error_ns2_regex').'<br />';

   if(isset($_POST['email']) && $_POST['email'] == '') $error .= $app->lng('error_email_empty').'<br />';
	
   if(isset($_POST['domain']) && !preg_match('/^[\w\.\-]{2,64}\.[a-zA-Z0-9\-]{2,30}$/',$_POST['domain'])) $error .= $app->lng('error_domain_regex').'<br />';
   if(isset($_POST['ns1']) && !preg_match('/^[\w\.\-]{2,64}\.[a-zA-Z0-9]{2,30}$/',$_POST['ns1'])) $error .= $app->lng('error_ns1_regex').'<br />';
   if(isset($_POST['ns2']) && !preg_match('/^[\w\.\-]{2,64}\.[a-zA-Z0-9]{2,30}$/',$_POST['ns2'])) $error .= $app->lng('error_ns2_regex').'<br />';
   if(isset($_POST['email']) && !preg_match('/^\w+[\w.-]*\w+@\w+[\w.-]*\w+\.[a-z0-9\-]{2,30}$/i',$_POST['email'])) $error .= $app->lng('error_email_regex').'<br />';
   elseif(isset($_POST['email']) && !preg_match('/^\w+[\w.-]*\w+@\w+[\w.-]*\w+\.[a-z0-9\-]{2,30}$/i',$_POST['email'])) $error .= $app->lng('error_email_regex').'<br />';
   
   // make sure that the record belongs to the client group and not the admin group when admin inserts it
   if($_SESSION["s"]["user"]["typ"] == 'admin' && isset($_POST['client_group_id'])) {
@@ -173,6 +243,13 @@
   if($_POST['ns1'] != '') $tpl_content = str_replace('{NS1}',$_POST['ns1'],$tpl_content);
   if($_POST['ns2'] != '') $tpl_content = str_replace('{NS2}',$_POST['ns2'],$tpl_content);
   if($_POST['email'] != '') $tpl_content = str_replace('{EMAIL}',$_POST['email'],$tpl_content);
        if(isset($_POST['dkim']) && preg_match('/^[\w\.\-\/]{2,255}\.[a-zA-Z0-9\-]{2,30}[\.]{0,1}$/',$_POST['domain'])) {
                $public_key=$app->db->queryOneRecord("SELECT dkim_public FROM mail_domain WHERE domain = '".$app->db->quote($_POST['domain'])."' AND dkim = 'y' AND ".$app->tform->getAuthSQL('r'));
                if ($public_key!='') {
                        $dns_record=str_replace(array("\r\n", "\n", "\r","-----BEGIN PUBLIC KEY-----","-----END PUBLIC KEY-----"),'',$public_key['dkim_public']);
                        $tpl_content = str_replace('{DKIM}','TXT|default._domainkey.'.$_POST['domain'].'.|v=DKIM1; t=s; p='.$dns_record,$tpl_content);
                }
        }
   
   // Parse the template
   $tpl_rows = explode("\n",$tpl_content);
@@ -273,4 +350,4 @@
$app->tpl->pparse();


?>
?>