Roundcubemail devel
parent: bac35656 | patch | commit | ignore whitespace
alecpl
2009-04-21 cf356bcb360509734e6c44e1f08f1092043d19d9 
- improved password plugin (#1485810)


3 files modified
172 ■■■■ changed files
plugins/password/localization/en_US.inc 13 ●●●●● patch | view | raw | blame | history
plugins/password/localization/pl_PL.inc 3 ●●●●● patch | view | raw | blame | history
plugins/password/password.php 156 ●●●● patch | view | raw | blame | history 
 plugins/password/localization/en_US.inc


@@ -7,9 +7,12 @@


$labels['confpasswd']  = 'Confirm New Password:';




$messages = array();


$messages['nopassword'] = "Please input new password.";


$messages['nocurpassword'] = "Please input current password.";


$messages['passwordincorrectly'] = "Current password incorrectly.";


$messages['passwordinconsistency'] = "Inconsistency of password, please try again.";


$messages['nopassword'] = 'Please input new password.';


$messages['nocurpassword'] = 'Please input current password.';


$messages['passwordincorrectly'] = 'Current password incorrectly.';


$messages['passwordinconsistency'] = 'Inconsistency of password, please try again.';


$messages['nocryptfunction'] = 'The server is missing a function to encrypt your password - contact your system adminstrator.';


$messages['internalerror'] = 'The server is updated more than one row in the database. This could be bad for all users. Contact your system adminstrator.';


$messages['errorsaving'] = 'Could not save your new password to the database. Contact your system adminstrator.';




?>


?>




 plugins/password/localization/pl_PL.inc


@@ -11,5 +11,8 @@


$messages['nocurpassword'] = 'Wprowadź aktualne hasło.';


$messages['passwordincorrect'] = 'Błędne aktualne hasło, spróbuj ponownie.';


$messages['passwordinconsistency'] = 'Hasła nie pasują, spróbuj ponownie.';


$messages['nocryptfunction'] = 'Brak funkcji kodującej hasło. Skontaktuj się z administratorem.';


$messages['internalerror'] = 'Serwer zaktualizował więcej niż jeden wpis w bazie. To może być złe dla innych użytkowników. Skontaktuj się z administratorem.';


$messages['errorsaving'] = 'Nie udało się zapisać nowego hasła. Skontaktuj się z administratorem.';




?>




 plugins/password/password.php


@@ -3,11 +3,81 @@


/**


 * Change Password


 *


 * Sample plugin that adds a possibility to change password


 * Plugin that adds a possibility to change password using a database


 * (Settings -> Password tab)


 *


 * @version 1.0


 * @version 1.1


 * @author Aleksander 'A.L.E.C' Machniak


 * @editor Daniel Black


 *


 * Configuration Items (config/main.inc.php):


 *   password_confirm_current - boolean to determine whether current password


 *     is required to change password. Defaults to FALSE.


 *   db_passwd_dsn - is the PEAR database DSN for performing the query. Defaults


 *     to the default databse setting in config/db.inc.php


 *   password_query - the SQL query used to change the password.


 *     If the SQL query is a SELECT it will return an error message in a row if unsuccessful


 *     If the SQL query is a UPDATE it will update a single row only. 


 *     An UPDATE where zero rows changed will be inteperated to be a wrong username/password


 *     More than one row changed will be inteperated as an internal error


 *     The query can contain the following macros that will be expanded as follows:


 *       %p is replaced with the plaintext new password


 *       %c is replaced with the crypt version of the new password, MD5 if available


 *         otherwise DES.


 *       %u is replaced with the username (from the session info)


 *       %o is replaced with the password before the change


 *       %h is replaced with the imap host (from the session info)


 *     Escaping of macros is handled by this module.


 *     Defaults to "SELECT update_passwd(%c, %u)" 


 *     To use this you need to define the update_passwd function in your


 *     database.


 *


 * Example SQL queries:


 * These will typically need to define a function to change the password:


 * 


 * Example implementations of an update_passwd function:


 *


 * This is for use with LMS (http://lms.org.pl) database and postgres:


 * CREATE OR REPLACE FUNCTION update_passwd(hash text, account text) RETURNS integer AS $$


 * DECLARE


 *         res integer;


 * BEGIN


 *      UPDATE passwd SET password = hash


 *    WHERE login = split_part(account, '@', 1)


 *        AND domainid = (SELECT id FROM domains WHERE name = split_part(account, '@', 2))


 *    RETURNING id INTO res;


 *    RETURN res;


 * END;


 * $$ LANGUAGE plpgsql SECURITY DEFINER;


 *


 * This is for use with a SELECT update_passwd(%o,%c,%u) query


 * Uupdates the password only when the old password matches the MD5 password in the database


 * CREATE FUNCTION update_password (oldpass text, cryptpass text, user text) RETURNS text


 *        MODIFIES SQL DATA


 * BEGIN


 *   DECLARE currentsalt varchar(20);


 *   DECLARE error text;


 *   SET error = 'incorrect current password';


 *   SELECT substring_index(substr(user.password,4),_latin1'$',1) INTO currentsalt FROM users WHERE username=user;


 *   SELECT '' INTO error FROM users WHERE username=user AND password=ENCRYPT(oldpass,currentsalt);


 *   UPDATE users SET password=cryptpass WHERE username=user AND password=ENCRYPT(oldpass,currentsalt);


 *   RETURN error;


 * END


 *


 * Example SQL UPDATEs:


 * 


 *   Plain text passwords:


 *   UPDATE users SET password=%p WHERE username=%u AND password=%o AND domain=%h LIMIT 1


 * 


 *   Crypt text passwords:


 *   UPDATE users SET password=%c WHERE username=%u LIMIT 1


 *


 *   Use a MYSQL crypt function (*nix only) with random 8 character salt


 *   UPDATE users SET password=ENCRYPT(%p,concat(_utf8'$1$',right(md5(rand()),8),_utf8'$')) WHERE username=%u LIMIT 1


 * 


 *   MD5 stored passwords:


 *   UPDATE users SET password=MD5(%p) WHERE username=%u AND password=MD5(%o) LIMIT 1


 * 


 */


class password extends rcube_plugin


{


@@ -34,21 +104,22 @@


  {


    $rcmail = rcmail::get_instance();




    $confirm = $this->_confirm($rcmail->config);


    $this->add_texts('localization/');




    if (!isset($_POST['_curpasswd']) || !isset($_POST['_newpasswd']))


    if (($confirm && !isset($_POST['_curpasswd'])) || !isset($_POST['_newpasswd']))


      $rcmail->output->command('display_message', $this->gettext('nopassword'), 'error');


    else {


      $curpwd = get_input_value('_curpasswd', RCUBE_INPUT_POST);


      $newpwd = get_input_value('_newpasswd', RCUBE_INPUT_POST);




      if ($_SESSION['password'] != $rcmail->encrypt_passwd($curpwd))


      if ($confirm && $_SESSION['password'] !=  $rcmail->encrypt_passwd($curpwd))


        $rcmail->output->command('display_message', $this->gettext('passwordincorrect'), 'error');


      else if ($res = $this->_save($newpwd)) {


      else if (!($res = $this->_save($curpwd,$newpwd))) {


        $rcmail->output->command('display_message', $this->gettext('successfullysaved'), 'confirmation');


        $_SESSION['password'] = $rcmail->encrypt_passwd($newpwd);


      } else


        $rcmail->output->command('display_message', $this->gettext('errorsaving'), 'error');


        $rcmail->output->command('display_message', $res, 'error');


    }




    rcmail_overwrite_action('plugin.password');


@@ -59,6 +130,7 @@


  {


    $rcmail = rcmail::get_instance();




    $confirm = $this->_confirm($rcmail->config);


    // add some labels to client


    $rcmail->output->add_label(


    'password.nopassword',


@@ -75,18 +147,20 @@


    // return the complete edit form as table


    $out = '<table' . $attrib_str . ">\n\n";




    $a_show_cols = array('curpasswd'   => array('type' => 'text'),


                'newpasswd'   => array('type' => 'text'),


    $a_show_cols = array('newpasswd'   => array('type' => 'text'),


                'confpasswd'   => array('type' => 'text'));




    // show current password selection


    $field_id = 'curpasswd';


    $input_newpasswd = new html_passwordfield(array('name' => '_curpasswd', 'id' => $field_id, 'size' => 20));




    $out .= sprintf("<tr><td class=\"title\"><label for=\"%s\">%s</label></td><td>%s</td></tr>\n",


                $field_id,


                rep_specialchars_output($this->gettext('curpasswd')),


                $input_newpasswd->show($rcmail->config->get('curpasswd')));


    if ($confirm) {


      $a_show_cols['curpasswd'] = array('type' => 'text');


      // show current password selection


      $field_id = 'curpasswd';


      $input_newpasswd = new html_passwordfield(array('name' => '_curpasswd', 'id' => $field_id, 'size' => 20));


  


      $out .= sprintf("<tr><td class=\"title\"><label for=\"%s\">%s</label></td><td>%s</td></tr>\n",


                  $field_id,


                  rep_specialchars_output($this->gettext('curpasswd')),


                  $input_newpasswd->show($rcmail->config->get('curpasswd')));


    }




    // show new password selection


    $field_id = 'newpasswd';


@@ -127,16 +201,18 @@


    ), $out);


  }




  private function _confirm($cfg) {


    $val = $cfg->get('password_confirm_current');


    //return empty($val) || $val;


    return $val;


  }




  private function _save($passwd)


  private function _save($curpass,$passwd)


  {


    $cfg = rcmail::get_instance()->config;




    if (!($sql = $cfg->get('password_query')))


      $sql = "SELECT update_passwd('%p', '%u')";


        


    $sql = str_replace('%u', $_SESSION['username'], $sql);


    $sql = str_replace('%p', crypt($passwd), $sql);


      $sql = "SELECT update_passwd(%c, %u)";




    if ($dsn = $cfg->get('db_passwd_dsn')) {


      $db = new rcube_mdb2($dsn, '', FALSE);


@@ -145,14 +221,40 @@


    } else {


      $db = rcmail::get_instance()->get_dbh();


    }


    if ($err = $db->is_error())


      return $err;


    


    if (!$db->db_connected)


      return false;


    


    $res = $db->query($sql);


    $res = $db->fetch_array($res);


    if (strpos($sql,'%c') !== FALSE) {


      $salt = '';


      if (CRYPT_MD5) { 


        $len = rand(3,CRYPT_SALT_LENGTH);


      } else if (CRYPT_STD_DES) {


        $len = 2;


      } else {


        return $this->gettext('nocryptfunction');


      }


      for ($i = 0; $i < $len ; $i++) {


        $salt .= chr(rand(ord('.'),ord('z')));


      }


      $sql = str_replace('%c',  $db->quote(crypt($passwd, CRYPT_MD5 ? '$1$'.$salt.'$' : $salt)), $sql);


    }


    $sql = str_replace('%u', $db->quote($_SESSION['username'],'text'), $sql);


    $sql = str_replace('%p', $db->quote($passwd,'text'), $sql);


    $sql = str_replace('%o', $db->quote($curpass,'text'), $sql);


    $sql = str_replace('%h', $db->quote($_SESSION['imap_host'],'text'), $sql);




    return $res;


    $res = $db->query($sql);


    if ($err = $db->is_error())


      return $err;


    if (strtolower(substr(trim($query),0,6))=='select') {


      return $db->fetch_array($res);


    } else { 


      $res = $db->affected_rows($res);


      if ($res == 0) return $this->gettext('errorsaving');


      if ($res == 1) return FALSE; // THis is the good case - 1 row updated


      return $this->gettext('internalerror');


    }




  }




}