MDL-17772 fixed guest access; MDL-17754 $USER object initialisation cleanup
[moodle.git] / lib / setup.php
1 <?php
2 /**
3  * setup.php - Sets up sessions, connects to databases and so on
4  *
5  * Normally this is only called by the main config.php file
6  * Normally this file does not need to be edited.
7  * @author Martin Dougiamas
8  * @version $Id$
9  * @license http://www.gnu.org/copyleft/gpl.html GNU Public License
10  * @package moodlecore
11  */
13 ////// DOCUMENTATION IN PHPDOC FORMAT FOR MOODLE GLOBALS AND COMMON OBJECT TYPES /////////////
14 /**
15  * $USER is a global instance of a typical $user record.
16  *
17  * Items found in the user record:
18  *  - $USER->emailstop - Does the user want email sent to them?
19  *  - $USER->email - The user's email address.
20  *  - $USER->id - The unique integer identified of this user in the 'user' table.
21  *  - $USER->email - The user's email address.
22  *  - $USER->firstname - The user's first name.
23  *  - $USER->lastname - The user's last name.
24  *  - $USER->username - The user's login username.
25  *  - $USER->secret - The user's ?.
26  *  - $USER->lang - The user's language choice.
27  *
28  * @global object(user) $USER
29  */
30 global $USER;
31 /**
32  * This global variable is read in from the 'config' table.
33  *
34  * Some typical settings in the $CFG global:
35  *  - $CFG->wwwroot - Path to moodle index directory in url format.
36  *  - $CFG->dataroot - Path to moodle index directory on server's filesystem.
37  *  - $CFG->libdir  - Path to moodle's library folder on server's filesystem.
38  *
39  * @global object(cfg) $CFG
40  */
41 global $CFG;
42 /**
43  * Definition of session type
44  * @global object(session) $SESSION
45  */
46 global $SESSION;
47 /**
48  * Definition of shared memory cache
49  */
50 global $MCACHE;
51 /**
52  * Definition of course type
53  * @global object(course) $COURSE
54  */
55 global $COURSE;
56 /**
57  * Database instances
58  * @global object(mdb) $DB
59  */
60 global $DB;
61 /**
62  * $THEME is a global that defines the site theme.
63  *
64  * Items found in the theme record:
65  *  - $THEME->cellheading - Cell colors.
66  *  - $THEME->cellheading2 - Alternate cell colors.
67  *
68  * @global object(theme) $THEME
69  */
70 global $THEME;
72 /**
73  * HTTPSPAGEREQUIRED is a global to define if the page being displayed must run under HTTPS.
74  *
75  * It's primary goal is to allow 100% HTTPS pages when $CFG->loginhttps is enabled. Default to false.
76  * It's enabled only by the httpsrequired() function and used in some pages to update some URLs
77 */
78 global $HTTPSPAGEREQUIRED;
81 /// First try to detect some attacks on older buggy PHP versions
82     if (isset($_REQUEST['GLOBALS']) || isset($_COOKIE['GLOBALS']) || isset($_FILES['GLOBALS'])) {
83         die('Fatal: Illegal GLOBALS overwrite attempt detected!');
84     }
87     if (!isset($CFG->wwwroot)) {
88         trigger_error('Fatal: $CFG->wwwroot is not configured! Exiting.');
89         die;
90     }
92 /// store settings from config.php in array in $CFG - we can use it later to detect problems and overrides
93     $CFG->config_php_settings = (array)$CFG;
95 /// Set httpswwwroot default value (this variable will replace $CFG->wwwroot
96 /// inside some URLs used in HTTPSPAGEREQUIRED pages.
97     $CFG->httpswwwroot = $CFG->wwwroot;
99     $CFG->libdir   = $CFG->dirroot .'/lib';
101     require_once($CFG->libdir .'/setuplib.php');        // Functions that MUST be loaded first
103 /// Time to start counting
104     init_performance_info();
107 /// If there are any errors in the standard libraries we want to know!
108     error_reporting(E_ALL);
110 /// Just say no to link prefetching (Moz prefetching, Google Web Accelerator, others)
111 /// http://www.google.com/webmasters/faq.html#prefetchblock
112     if (!empty($_SERVER['HTTP_X_moz']) && $_SERVER['HTTP_X_moz'] === 'prefetch'){
113         header($_SERVER['SERVER_PROTOCOL'] . ' 404 Prefetch Forbidden');
114         trigger_error('Prefetch request forbidden.');
115         exit;
116     }
118 /// Define admin directory
119     if (!isset($CFG->admin)) {   // Just in case it isn't defined in config.php
120         $CFG->admin = 'admin';   // This is relative to the wwwroot and dirroot
121     }
123     if (!isset($CFG->prefix)) {   // Just in case it isn't defined in config.php
124         $CFG->prefix = '';
125     }
127 /// Load up standard libraries
128     require_once($CFG->libdir .'/textlib.class.php');   // Functions to handle multibyte strings
129     require_once($CFG->libdir .'/weblib.php');          // Functions for producing HTML
130     require_once($CFG->libdir .'/dmllib.php');          // Database access
131     require_once($CFG->libdir .'/datalib.php');         // Legacy lib with a big-mix of functions.
132     require_once($CFG->libdir .'/accesslib.php');       // Access control functions
133     require_once($CFG->libdir .'/deprecatedlib.php');   // Deprecated functions included for backward compatibility
134     require_once($CFG->libdir .'/moodlelib.php');       // Other general-purpose functions
135     require_once($CFG->libdir .'/eventslib.php');       // Events functions
136     require_once($CFG->libdir .'/grouplib.php');        // Groups functions
137     require_once($CFG->libdir .'/sessionlib.php');      // All session and cookie related stuff
139     //point pear include path to moodles lib/pear so that includes and requires will search there for files before anywhere else
140     //the problem is that we need specific version of quickforms and hacked excel files :-(
141     ini_set('include_path', $CFG->libdir.'/pear' . PATH_SEPARATOR . ini_get('include_path'));
142     //point zend include path to moodles lib/zend so that includes and requires will search there for files before anywhere else
143     ini_set('include_path', $CFG->libdir.'/zend' . PATH_SEPARATOR . ini_get('include_path'));
145 /// set handler for uncought exceptions - equivalent to print_error() call
146     set_exception_handler('default_exception_handler');
148 /// Connect to the database
149     setup_DB();
151 /// Increase memory limits if possible
152     raise_memory_limit('96M');    // We should never NEED this much but just in case...
154 /// Disable errors for now - needed for installation when debug enabled in config.php
155     if (isset($CFG->debug)) {
156         $originalconfigdebug = $CFG->debug;
157         unset($CFG->debug);
158     } else {
159         $originalconfigdebug = -1;
160     }
162 /// Load up any configuration from the config table
163     try {
164         $CFG = get_config();
165     } catch (dml_read_exception $e) {
166         // most probably empty db, going to install soon
167     }
169 /// Verify upgrade is not running unless we are in a script that needs to execute in any case
170     if (!defined('NO_UPGRADE_CHECK') and isset($CFG->upgraderunning)) {
171         if ($CFG->upgraderunning < time()) {
172             unset_config('upgraderunning');
173         } else {
174             print_error('upgraderunning');
175         }
176     }
178 /// Turn on SQL logging if required
179     if (!empty($CFG->logsql)) {
180         $DB->set_logging(true);
181     }
183 /// Prevent warnings from roles when upgrading with debug on
184     if (isset($CFG->debug)) {
185         $originaldatabasedebug = $CFG->debug;
186         unset($CFG->debug);
187     } else {
188         $originaldatabasedebug = -1;
189     }
192 /// For now, only needed under apache (and probably unstable in other contexts)
193     if (function_exists('register_shutdown_function')) {
194         register_shutdown_function('moodle_request_shutdown');
195     }
197 /// Defining the site
198     try {
199         $SITE = get_site();
200     } catch (dml_read_exception $e) {
201         $SITE = null;
202     }
204     if ($SITE) {
205         /**
206          * If $SITE global from {@link get_site()} is set then SITEID to $SITE->id, otherwise set to 1.
207          */
208         define('SITEID', $SITE->id);
209         /// And the 'default' course
210         $COURSE = clone($SITE);   // For now.  This will usually get reset later in require_login() etc.
211     } else {
212         /**
213          * @ignore
214          */
215         define('SITEID', 1);
216         /// And the 'default' course
217         $COURSE = new object;  // no site created yet
218         $COURSE->id = 1;
219     }
221     // define SYSCONTEXTID in config.php if you want to save some queries (after install or upgrade!)
222     if (!defined('SYSCONTEXTID')) {
223         get_system_context();
224     }
226 /// Set error reporting back to normal
227     if ($originaldatabasedebug == -1) {
228         $CFG->debug = DEBUG_MINIMAL;
229     } else {
230         $CFG->debug = $originaldatabasedebug;
231     }
232     if ($originalconfigdebug !== -1) {
233         $CFG->debug = $originalconfigdebug;
234     }
235     unset($originalconfigdebug);
236     unset($originaldatabasedebug);
237     error_reporting($CFG->debug);
240 /// find out if PHP cofigured to display warnings
241     if (ini_get_bool('display_errors')) {
242         define('WARN_DISPLAY_ERRORS_ENABLED', true);
243     }
244 /// If we want to display Moodle errors, then try and set PHP errors to match
245     if (!isset($CFG->debugdisplay)) {
246         //keep it as is during installation
247     } else if (empty($CFG->debugdisplay)) {
248         @ini_set('display_errors', '0');
249         @ini_set('log_errors', '1');
250     } else {
251         @ini_set('display_errors', '1');
252     }
253 // Even when users want to see errors in the output,
254 // some parts of Moodle cannot display them at all.
255 // (Once we are XHTML strict compliant, debugdisplay
256 //  _must_ go away).
257     if (defined('MOODLE_SANE_OUTPUT')) {
258         @ini_set('display_errors', '0');
259         @ini_set('log_errors', '1');
260     }
262 /// detect unsupported upgrade jump as soon as possible - do not change anything, do not use system functions
263     if (!empty($CFG->version) and $CFG->version < 2007101509) {
264         print_error('upgraderequires19', 'error');
265         die;
266     }
268 /// Shared-Memory cache init -- will set $MCACHE
269 /// $MCACHE is a global object that offers at least add(), set() and delete()
270 /// with similar semantics to the memcached PHP API http://php.net/memcache
271 /// Ensure we define rcache - so we can later check for it
272 /// with a really fast and unambiguous $CFG->rcache === false
273     if (!empty($CFG->cachetype)) {
274         if (empty($CFG->rcache)) {
275             $CFG->rcache = false;
276         } else {
277             $CFG->rcache = true;
278         }
280         // do not try to initialize if cache disabled
281         if (!$CFG->rcache) {
282             $CFG->cachetype = '';
283         }
285         if ($CFG->cachetype === 'memcached' && !empty($CFG->memcachedhosts)) {
286             if (!init_memcached()) {
287                 debugging("Error initialising memcached");
288                 $CFG->cachetype = '';
289                 $CFG->rcache = false;
290             }
291         } else if ($CFG->cachetype === 'eaccelerator') {
292             if (!init_eaccelerator()) {
293                 debugging("Error initialising eaccelerator cache");
294                 $CFG->cachetype = '';
295                 $CFG->rcache = false;
296             }
297         }
299     } else { // just make sure it is defined
300         $CFG->cachetype = '';
301         $CFG->rcache    = false;
302     }
304 /// Set a default enrolment configuration (see bug 1598)
305     if (!isset($CFG->enrol)) {
306         $CFG->enrol = 'manual';
307     }
309 /// Set default enabled enrolment plugins
310     if (!isset($CFG->enrol_plugins_enabled)) {
311         $CFG->enrol_plugins_enabled = 'manual';
312     }
314 /// File permissions on created directories in the $CFG->dataroot
316     if (empty($CFG->directorypermissions)) {
317         $CFG->directorypermissions = 0777;      // Must be octal (that's why it's here)
318     }
320 /// Calculate and set $CFG->ostype to be used everywhere. Possible values are:
321 /// - WINDOWS: for any Windows flavour.
322 /// - UNIX: for the rest
323 /// Also, $CFG->os can continue being used if more specialization is required
324     if (stristr(PHP_OS, 'win') && !stristr(PHP_OS, 'darwin')) {
325         $CFG->ostype = 'WINDOWS';
326     } else {
327         $CFG->ostype = 'UNIX';
328     }
329     $CFG->os = PHP_OS;
331 /// Set up default frame target string, based on $CFG->framename
332     $CFG->frametarget = frametarget();
334 /// Setup cache dir for Smarty and others
335     if (!file_exists($CFG->dataroot .'/cache')) {
336         make_upload_directory('cache');
337     }
339 /// Configure ampersands in URLs
340     @ini_set('arg_separator.output', '&amp;');
342 /// Work around for a PHP bug   see MDL-11237
343     @ini_set('pcre.backtrack_limit', 20971520);  // 20 MB
345 /// Location of standard files
346     $CFG->wordlist    = $CFG->libdir .'/wordlist.txt';
347     $CFG->javascript  = $CFG->libdir .'/javascript.php';
348     $CFG->moddata     = 'moddata';
350 // Alas, in some cases we cannot deal with magic_quotes.
351     if (defined('MOODLE_SANE_INPUT') && ini_get_bool('magic_quotes_gpc')) {
352         mdie("Facilities that require MOODLE_SANE_INPUT "
353              . "cannot work with magic_quotes_gpc. Please disable "
354              . "magic_quotes_gpc.");
355     }
356 /// A hack to get around magic_quotes_gpc being turned on
357 /// It is strongly recommended to disable "magic_quotes_gpc"!
358     if (ini_get_bool('magic_quotes_gpc')) {
359         function stripslashes_deep($value) {
360             $value = is_array($value) ?
361                     array_map('stripslashes_deep', $value) :
362                     stripslashes($value);
363             return $value;
364         }
365         $_POST = array_map('stripslashes_deep', $_POST);
366         $_GET = array_map('stripslashes_deep', $_GET);
367         $_COOKIE = array_map('stripslashes_deep', $_COOKIE);
368         $_REQUEST = array_map('stripslashes_deep', $_REQUEST);
369         if (!empty($_SERVER['REQUEST_URI'])) {
370             $_SERVER['REQUEST_URI'] = stripslashes($_SERVER['REQUEST_URI']);
371         }
372         if (!empty($_SERVER['QUERY_STRING'])) {
373             $_SERVER['QUERY_STRING'] = stripslashes($_SERVER['QUERY_STRING']);
374         }
375         if (!empty($_SERVER['HTTP_REFERER'])) {
376             $_SERVER['HTTP_REFERER'] = stripslashes($_SERVER['HTTP_REFERER']);
377         }
378        if (!empty($_SERVER['PATH_INFO'])) {
379             $_SERVER['PATH_INFO'] = stripslashes($_SERVER['PATH_INFO']);
380         }
381         if (!empty($_SERVER['PHP_SELF'])) {
382             $_SERVER['PHP_SELF'] = stripslashes($_SERVER['PHP_SELF']);
383         }
384         if (!empty($_SERVER['PATH_TRANSLATED'])) {
385             $_SERVER['PATH_TRANSLATED'] = stripslashes($_SERVER['PATH_TRANSLATED']);
386         }
387     }
389 /// start session and prepare global $SESSION, $USER
390     session_get_instance();
391     $SESSION = &$_SESSION['SESSION'];
392     $USER    = &$_SESSION['USER'];
394     if (defined('FULLME')) {     // Usually in command-line scripts like admin/cron.php
395         $FULLME = FULLME;
396         $ME = FULLME;
397     } else {
398         $FULLME = qualified_me();
399         $ME = strip_querystring($FULLME);
400     }
402 /// Load up theme variables (colours etc)
404     if (!isset($CFG->themedir)) {
405         $CFG->themedir = $CFG->dirroot.'/theme';
406         $CFG->themewww = $CFG->wwwroot.'/theme';
407     }
408     $CFG->httpsthemewww = $CFG->themewww;
410     if (isset($_GET['theme'])) {
411         if ($CFG->allowthemechangeonurl || confirm_sesskey()) {
412             $themename = clean_param($_GET['theme'], PARAM_SAFEDIR);
413             if (($themename != '') and file_exists($CFG->themedir.'/'.$themename)) {
414                 $SESSION->theme = $themename;
415             }
416             unset($themename);
417         }
418     }
420     if (!isset($CFG->theme)) {
421         $CFG->theme = 'standardwhite';
422     }
424 /// Set language/locale of printed times.  If user has chosen a language that
425 /// that is different from the site language, then use the locale specified
426 /// in the language file.  Otherwise, if the admin hasn't specified a locale
427 /// then use the one from the default language.  Otherwise (and this is the
428 /// majority of cases), use the stored locale specified by admin.
429     if (isset($_GET['lang']) && ($lang = clean_param($_GET['lang'], PARAM_SAFEDIR))) {
430         if (file_exists($CFG->dataroot .'/lang/'. $lang) or file_exists($CFG->dirroot .'/lang/'. $lang)) {
431             $SESSION->lang = $lang;
432         } else if (file_exists($CFG->dataroot.'/lang/'.$lang.'_utf8') or
433                    file_exists($CFG->dirroot .'/lang/'.$lang.'_utf8')) {
434             $SESSION->lang = $lang.'_utf8';
435         }
436     }
438     setup_lang_from_browser();
440     unset($lang);
442     if (empty($CFG->lang)) {
443         if (empty($SESSION->lang)) {
444             $CFG->lang = 'en_utf8';
445         } else {
446             $CFG->lang = $SESSION->lang;
447         }
448     }
450     // set default locale and themes - might be changed again later from require_login()
451     course_setup();
453     if (!empty($CFG->guestloginbutton)) {
454         if ($CFG->theme == 'standard' or $CFG->theme == 'standardwhite') {    // Temporary measure to help with XHTML validation
455             if (isset($_SERVER['HTTP_USER_AGENT']) and empty($USER->id)) {      // Allow W3CValidator in as user called w3cvalidator (or guest)
456                 if ((strpos($_SERVER['HTTP_USER_AGENT'], 'W3C_Validator') !== false) or
457                     (strpos($_SERVER['HTTP_USER_AGENT'], 'Cynthia') !== false )) {
458                     if ($user = get_complete_user_data("username", "w3cvalidator")) {
459                         $user->ignoresesskey = true;
460                     } else {
461                         $user = guest_user();
462                     }
463                     session_set_user($user);
464                 }
465             }
466         }
467     }
469 /// Apache log intergration. In apache conf file one can use ${MOODULEUSER}n in
470 /// LogFormat to get the current logged in username in moodle.
471     if ($USER && function_exists('apache_note')
472         && !empty($CFG->apacheloguser) && isset($USER->username)) {
473         $apachelog_userid = $USER->id;
474         $apachelog_username = clean_filename($USER->username);
475         $apachelog_name = '';
476         if (isset($USER->firstname)) {
477             // We can assume both will be set
478             // - even if to empty.
479             $apachelog_name = clean_filename($USER->firstname . " " .
480                                              $USER->lastname);
481         }
482         if (session_is_loggedinas()) {
483             $realuser = session_get_realuser();
484             $apachelog_username = clean_filename($realuser->username." as ".$apachelog_username);
485             $apachelog_name = clean_filename($realuser->firstname." ".$realuser->lastname ." as ".$apachelog_name);
486             $apachelog_userid = clean_filename($realuser->id." as ".$apachelog_userid);
487         }
488         switch ($CFG->apacheloguser) {
489             case 3:
490                 $logname = $apachelog_username;
491                 break;
492             case 2:
493                 $logname = $apachelog_name;
494                 break;
495             case 1:
496             default:
497                 $logname = $apachelog_userid;
498                 break;
499         }
500         apache_note('MOODLEUSER', $logname);
501     }
503 /// Adjust ALLOWED_TAGS
504     adjust_allowed_tags();
506 /// Use a custom script replacement if one exists
507     if (!empty($CFG->customscripts)) {
508         if (($customscript = custom_script_path()) !== false) {
509             require ($customscript);
510         }
511     }
513     // in the first case, ip in allowed list will be performed first
514     // for example, client IP is 192.168.1.1
515     // 192.168 subnet is an entry in allowed list
516     // 192.168.1.1 is banned in blocked list
517     // This ip will be banned finally
518     if (!empty($CFG->allowbeforeblock)) { // allowed list processed before blocked list?
519         if (!empty($CFG->allowedip)) {
520             if (!remoteip_in_list($CFG->allowedip)) {
521                 die(get_string('ipblocked', 'admin'));
522             }
523         }
524         // need further check, client ip may a part of
525         // allowed subnet, but a IP address are listed
526         // in blocked list.
527         if (!empty($CFG->blockedip)) {
528             if (remoteip_in_list($CFG->blockedip)) {
529                 die(get_string('ipblocked', 'admin'));
530             }
531         }
533     } else {
534         // in this case, IPs in blocked list will be performed first
535         // for example, client IP is 192.168.1.1
536         // 192.168 subnet is an entry in blocked list
537         // 192.168.1.1 is allowed in allowed list
538         // This ip will be allowed finally
539         if (!empty($CFG->blockedip)) {
540             if (remoteip_in_list($CFG->blockedip)) {
541                 // if the allowed ip list is not empty
542                 // IPs are not included in the allowed list will be
543                 // blocked too
544                 if (!empty($CFG->allowedip)) {
545                     if (!remoteip_in_list($CFG->allowedip)) {
546                         die(get_string('ipblocked', 'admin'));
547                     }
548                 } else {
549                     die(get_string('ipblocked', 'admin'));
550                 }
551             }
552         }
553         // if blocked list is null
554         // allowed list should be tested
555         if(!empty($CFG->allowedip)) {
556             if (!remoteip_in_list($CFG->allowedip)) {
557                 die(get_string('ipblocked', 'admin'));
558             }
559         }
561     }
563 /// note: we can not block non utf-8 installatrions here, because empty mysql database
564 /// might be converted to utf-8 in admin/index.php during installation
565 ?>