Fix for CVE-2008-4474

Dialup-admin uses tmp files insecurely.  Since it isn't running
in a default install, this shouldn't be a major problem.

Patch from bug #605

Fix unsafe use of tmpfile. Signed-off-by: Stephen Gran <steve@lobefin.net>

Fix MySQL errors, as posted to the list by Marcos Roberto
Greiner <mrgreiner@gmail.com>

Merge the patches sent by the dialupadmin users in the past for
the 1.x series.

Oops, a few files from dialup_admin/bin were missing.

Add a Makefile to dialup_admin to make the installation easier.
Now you can type "make install DIALUP_PREFIX=/path/of/your/choice"
and your local copy will work without editing a decade of files.

Based on the Makefile in the source package of the Debian archive,
with edits to not try to copy CVS directories. (so it works on CVS
snapshots, too)

Delete trailing whitespace.

Change the order of OID's used in snmpfinger for cisco NASes

In lib/sql/attrmap.php3, only register variables once. Go through $show_attrs and set default attribute
mappings for any attribute that a mapping does not exist.

In time2strclock also show days if applicable

Add a ?> at the end of user_admin.php3

Fix a bug with user_admin and da_sql_limit

Fix a small bug in lib/sql/drivers/mysql/functions.php3

Fix a small typo

Use the correct max results variable in lib/*/find.php3

Count online users correctly (through a separate query) in user_finger.

Add a verbose logging option

Insert a uniqueid into AcctSessionId field also, as both Postgresql and Oracle have this field set to NUT NULL. (How did this code ever work with PG??)

Add Oracle comments

Add Oracle support

Add support for Oracle

Force set NLS_TIMESTAMP_TZ_FORMAT='YYYY-MM-DD HH24:MI:SS.FF TZH:TZM' on every Oracle connect. (If anyone can think of a better way to do this I am all ears)

Ooops. Add another space.

Fix calls to da_sql_limit

Fix the calls to da_sql_limit

Rename the badusers date field to incidentdate to avoid reserved words in databases. Bug found by
Peter Nixon

Create a new function da_sql_limit() and use that to pass LIMIT arguments to the database layer
since the syntax is different between db vendors

Trim semicolon from the end of the query if it exists.

Add native oracle support (Using the PHP OCI8 driver) to dialupadmin

hopefully final table schema

Fix datatype

pg_exec() has been replaced with pg_query()

totacct for Oracle

mtotacct for Oracle

badusers for oracle

userinfo.sql for oracle

Don't use $num in stats.php3, change it to $stats_num

check_ip() should now work in nas_admin.php3. Only require lib/functions.php3 once
in stats.php3

Revert back to using postgresql specific functions. dbx functions should be changed
to also use a dabatase subtype and perform any database specific functions themselves.

A first stab at using DBX for database abstraction. Works with Postgres currently.

First cut at making a working DBX driver.

Remove snmp_clearsession. It is replaced by clearsession which supports both snmp and telnet
methods of removing a user from an access server. Add corresponding configuration directives
general_sessionclear_method and nasXX_sessionclear_method

Correctly check nas validity in nas_admin.php3. Bug noted by Nick Bright

* Show the correct nas type in nas_admin. Bug noted by Nick Bright
* Correctly calculate the nas ip in lib/sql/nas_list.php3. Add a check_ip() function in lib/functions.php3
  Bug noted by Nick Bright

urlencode() all occurrences of the $login variable when used in url's. Bug noted by Dag Landau

Add support for usrhiper in snmpfinger. Patch from Nick Bright

* Make nasXX_finger_type actually work since the place where nas information was stored was changed a
  long time ago. Bug noted by Nick Bright
* In user_finger only set LD_LIBRARY_PATH once, not each time we call snmpfinger

Log somewhat more verbose error messages when the sql_command binary is not found in the bin scripts

In clear_opensessions depending on sql type use either IS NULL or = 0 in the DELETE statement.
We need to find a cleaner solution to this. This closes bug#175

* Add more documentation for per user counter limit attributes (daily/weekly/monthly limits)
* Make all counter limits default to none so that people don't get confused

Update password_check to work with all password attributes and use the configuration directives

Update the TODO file

* Add an sqlrelay functions file. The user_admin page does not currently work. Looking into it.
* Add sqlrelay support in the scripts. Add a sqlrelay_query script to run sqlrelay commands

* If date calculation fails, abort
* Add a backup_radacct script

Fix a problem when reading username.mappings

Add a header with the page encoding before sending any page (header added in config.php3)
This closes Bug #153

* In bin/snmpfinger also accept @,. in the username
* If we are stripping realms, then if needed strip them from the data returned by snmpfinger in
  user_finger.php3

* Add a snmp_clearsession which can disconnect a user by using the Cisco AAA Session MIB
* Add a configuration directive general_sessionclear_bin

Also delete sessions from sql_extra_servers. Add the ability to disconnect
a user (using the AAA Session MIB of Cisco)

Fix Bug #167

In lib/sql/group_info.php3 only unset variables if we need to. In lib/sql/defaults.php3 don't run for groups
only for users

In the show groups page, note that we only show groups with members

On group creation, if member list is empty report that, not that the group was created.

* Add lib/sql/group_change.php3 to add and delete a user from groups
* Add a new directive sql_show_all_groups. If set to true then in user edit page we show all available
  groups with the ones the user is a member of highlighted. The administrator can then directly
  change user group membership by changing membership in this group list.

In config.php3 remove whitespaces from $login. Don't remove '-'

Small type in login_time_create, close bug #141

Fix bug #136, bugs found by Pawel Foremski

Fix a small typo in the userinfo mysql schema. Found by Evert Meulie

Fix a small bug in user_admin.php3 found by Joerg Staedele

Make 'Add NAS' function in the nas admin page more easily accessible

Make pagesize 'all' work again. Bug found by apellido jr., wilfredo p.

Move a few header() calls after including config.php3 so that we have access to the relevant
variables.

In user_state also take into account any open sessions when calculating daily/weekly usage.
Add two more lines in the output stating the number of current open sessions and the time used.

Fix operator escaping in lib/sql/change_attrs.php3

Wrong foreach in show_groups and group_new.

Update the Authors file

Use lower cased row names in badusers page

* Add the style sheet in the content.html
* Enlarge the width for the left frame
* Make show_groups and the drop down menu in group_new work

Small fix to show_groups.php3

* Add a drop down menu with existing groups in group_new.php3
* Check for sql in show_groups.php3
* In lib/sql/group_info.php3 if $login is not set, find available groups and place them in
  $existing_groups along with a count of users per group. Use the functionality in group_new.php3
  and show_groups.php3
* Update TODO

* A LOT of security related fixes. Now dialupadmin should hopefully be secure enough to
  be accessed by normal users (not administrators).
* Move a few elements in the CSS file from the body tag. Suggestion by Gary McKinney
* Update FAQ about using php with no sql support.
* Allow the user to select between viewing FAQ,HOWTO or README in the help page.
* Use $_SERVER instead of $HTTP_SERVER_VARS

Fix a small error in lib/sql/find.php3. This closes bug #103

Set the general_username_mappings_file variable

Set general_restrict_nasadmin_access to no by default. It causes confusion.

Add a missing.php3 file with functions that may be missing from the PHP version used. Include it
if a function is missing. Currently only array_change_key_case() is included

* Use require_once instead of require when including xlat.php3
* Add debug statements in sql connect functions

* Escape special characters in the sql password. This closes bug #96
* Do an xlat for general_accounting_attrs_file and general_user_edit_attrs_file. That way we can
  have different mappings for each administrator.

Change is_int to is_numeric. This closes Bug #90

Add postgresql specific sql schema by apellido jr., wilfredo p. Move each sql schema to a
separate directory (mysql and postgresql)

Fix a few bugs
Enable debug for sql and ldap

* Move the xlat function to a separate file in lib/xlat.php3
* Add a lib/sql/nas_list.php3 to also get the nas list from sql (naslist.conf still works)
* add realms nasdb and nasadmin in username.mappings. nasadmin is used to signify if the
  user is allowed to use the nas_admin page. nasdb is used to shorten the nas list to only
  a few specific entries. That way administrator responsible for a few access servers will
  only be able to administer those access servers and not see the rest of the nas list.
* Add username searching in the find page as suggested by joram agten
* Don't use nas_list in nas_admin

Also allow for '-' to exist in a nas name in bin/log_badlogins

Make nas_list actually work

Keep the nas list in a separate array $nas_list. Update various pages to use that one now.

Add da_sql_escape_string for all relevant variables in lib/sql files

Fix small bugs in accounting.php3 and user_stats.php3. Add nas_admin.php3 to the buttons page

Add a nas administration page for sql based clients

Add conf/username.mappings

Fix a few typos

* Add a check_user_passwd() and a get_user_dn() functions in lib/ldap/functions.php3
* Add general_restrict_badusers_access directive. If set to yes we only allow each administrator
  access to their own entries in the badusers table
* Add a username.mappings table. We are able to map each administrator username to additional queries
  on the accounting and user settings tables.
* Add an sql_accounting_extra_query directive. If set this query is included in all
  queries to the accounting tables.
  Combined with admin username mappings we are able to easily restrict access on specific accounting data
  to each administrator.
* Escape bad characters in the $login variable
* Add a da_sql_escape_string function. We use that for every element we pass to sql queries in order to
  protect ourselves from sql injection.
* Use the ldap_userdn directive where applicable in the functions.php3 file
* Add an sql_xlat function

TODO: Check out the sql queries in lin/sql for sql injection.