File missing from r86820. Actually these changes should have been committed in r86813...
[toast/cookiecaptcha.git] / Captcha.php
1 <?php
2
3 /**
4  * Object encapsulating a captcha process.  The captcha has two elements: it must be able
5  * to generate a frontend HTML representation of itself which can be presented to the user,
6  * which provides inputs for users to provide their interpretation of the captcha; and it
7  * must be able to retrieve that data from a subsequently-submitted request and validate
8  * whether the user got the data correct.
9  */
10 abstract class Captcha {
11
12         /**
13          * @var String
14          */
15         protected $id;
16
17         /**
18          * Information about the captcha, in array form
19          * @var $info Array
20          */
21         protected $info;
22
23         /**
24          * Whether this captcha exists in the storage
25          * @var Bool
26          */
27         protected $exists;
28
29         /**
30          * Generate a new empty Captcha.  This is guaranteed to return a Captcha object if it
31          * does not throw an exception
32          *
33          * @return Captcha subclass
34          */
35         public final static function factory() {
36                 global $wgCaptchaClass;
37                 $obj = new $wgCaptchaClass;
38                 if ( $obj instanceof Captcha ) {
39                         return $obj;
40                 } else {
41                         throw new MWException( "Invalid Captcha class $wgCaptchaClass, must extend Captcha" );
42                 }
43         }
44
45         /**
46          * Instantiate a new Captcha object for a given Id
47          * 
48          * @param  $id Int
49          * @return Captcha
50          */
51         public final static function newFromId( $id ){
52                 $obj = self::factory();
53                 $obj->setId( $id );
54                 return $obj->exists()
55                         ? $obj
56                         : null;
57         }
58
59         /**
60          * Instantiate a brand new captcha, never seen before.
61          *
62          * @return Captcha
63          */
64         public final static function newRandom(){
65                 $obj = self::factory();
66                 $obj->generateNew();
67                 return $obj;
68         }
69
70         /**
71          * Protected constructor - use only the factory methods above to instantiate captchas,
72          * or you may end up with the wrong type of object
73          */
74         protected function __construct(){}
75
76         /**
77          * Get the captcha Id
78          *
79          * @return String
80          */
81         public function getId(){
82                 return $this->id;
83         }
84
85         /**
86          * Set the Id internally.  Don't include wierd things like entities or characters that
87          * need to be HTML-escaped, you'll just be creating more work and pain for yourself...
88          *
89          * @param  $id String
90          */
91         protected function setId( $id ){
92                 $this->id = $id;
93         }
94
95         /**
96          * Initialise $this->info etc with information needed to make this object a new,
97          * (ideally) never-seen-before captcha.  Implementations should not save the data in
98          * the store in this function, as the captcha may not ever be used.
99          *
100          * @return Array of captcha info
101          */
102         # FIXME: detail
103         protected abstract function generateNew();
104
105         /**
106          * Save a generated captcha in storage somewhere where it won't be lost between
107          * requests. A random ID is used so legit users can make edits in multiple tabs
108          * or windows without being unnecessarily hobbled by a serial order requirement.
109          */
110         protected function store() {
111                 // Assign random index if we're not udpating
112                 if ( !isset( $this->info['index'] ) ) {
113                         if( !$this->getId() ){
114                                 $this->setId( strval( mt_rand() ) );
115                         }
116                         $this->info['index'] = $this->getId();
117                 }
118                 CaptchaStore::get()->store( $this->info['index'], $this->info );
119         }
120
121         /**
122          * Fetch the data for this captcha from the CaptchaStore.  This requires $this->id
123          * to be set.
124          *
125          * @return Array|Bool: Array of info, or false if missing
126          */
127         protected function retrieve() {
128                 if( $this->getId() === null ){
129                         return null;
130                 }
131                 if( $this->info === null ){
132                         $this->info = CaptchaStore::get()->retrieve( $this->getId() );
133                         $this->exists = $this->info !== false;
134                 }
135                 return $this->info;
136         }
137
138         /**
139          * Clear the information about this captcha from the CaptchaStore, so it cannot
140          * be reused at a later date.
141          */
142         protected function delete() {
143                 if( $this->getId() !== null ){
144                         CaptchaStore::get()->clear( $this->getId() );
145                 }
146         }
147
148         /**
149          * Whether this captcha exists.  $this->setId() must have been called from some context
150          *
151          * @return Bool
152          */
153         public function exists(){
154                 if( $this->exists === null ){
155                         $this->retrieve();
156                 }
157                 return $this->exists;
158         }
159
160         /**
161          * Load some data from a WebRequest.  Implementations must load all data they need
162          * from the request in this function, they must not use the global $wgRequest, as
163          * in the post-1.18 environment they may not necessarily be the same.
164          *
165          * @param $request WebRequest
166          * @param $field HTMLCaptchaField will be passed if the captcha is part of an HTMLForm
167          */
168         public abstract function loadFromRequest( WebRequest $request, HTMLCaptchaField $field = null );
169
170         /**
171          * Return the data that would be needed to pass the captcha challenge through the API.
172          * Implementations must return an array with at least the following parameters:
173          *     'type' - a unique description of the type of challenge.  This could be
174          *         the class name
175          *     'mime' - the MIME type of the challenge
176          *     'id' - the captcha Id produced by getId()
177          * Implementations should document how the user should use the provided data to answer
178          * the captcha.
179          *
180          * Implementations may return False to indicate that it is not possible to represent
181          * the challenge via the API.  API actions protected by such a captcha will be disabled.
182          *
183          * @return Array|Bool
184          */
185         public abstract function getApiParams();
186
187         /**
188          * Return the HTML which will be placed in the 'input' table cell of an HTMLForm.
189          * Implementations must include input fields which will perpetuate the captcha Id and
190          * any special data, as well as providing a means for the user to answer the captcha.
191          * Implementations should not include any help or label text, as these will be set in
192          * the label-message and help-message attributes of the HTMLCaptchafield.
193          * Implementations should honour the options set in the HTMLFormField such as
194          * $field->mName and $field->mReadonly.
195          *
196          * @param $field HTMLCaptchaField
197          * @return String raw HTML
198          */
199         public abstract function getFormHTML( HTMLCaptchaField $field );
200
201         /**
202          * Return the HTML which will be used in legacy forms which do not implement HTMLForm
203          * Implementations must include input fields which will perpetuate the captcha Id and
204          * any other necessary data, as well as providing a means for the user to answer the
205          * captcha, and any relevant descriptions and instructions.
206          *
207          * @return String raw HTML
208          */
209         public abstract function getFreeflowHTML();
210
211         /**
212          * Using the parameters loaded from the web request, check the captcha, maybe delete
213          * it if that's desirable, do any other necessary cleanup, and return Bool
214          * @return Bool whether the captcha was successfully answered
215          */
216         public abstract function checkCaptcha();
217 }
218
219 class SimpleCaptcha {
220
221         function getCaptcha() {
222                 $a = mt_rand( 0, 100 );
223                 $b = mt_rand( 0, 10 );
224
225                 /* Minus sign is used in the question. UTF-8,
226                    since the api uses text/plain, not text/html */
227                 $op = mt_rand( 0, 1 ) ? '+' : '−';
228
229                 $test = "$a $op $b";
230                 $answer = ( $op == '+' ) ? ( $a + $b ) : ( $a - $b );
231                 return array( 'question' => $test, 'answer' => $answer );
232         }
233
234         function addCaptchaAPI( &$resultArr ) {
235                 $captcha = $this->getCaptcha();
236                 $index = $this->storeCaptcha( $captcha );
237                 $resultArr['captcha']['type'] = 'simple';
238                 $resultArr['captcha']['mime'] = 'text/plain';
239                 $resultArr['captcha']['id'] = $index;
240                 $resultArr['captcha']['question'] = $captcha['question'];
241         }
242
243         /**
244          * Insert a captcha prompt into the edit form.
245          * This sample implementation generates a simple arithmetic operation;
246          * it would be easy to defeat by machine.
247          *
248          * Override this!
249          *
250          * @return string HTML
251          */
252         function getForm() {
253                 $captcha = $this->getCaptcha();
254                 $index = $this->storeCaptcha( $captcha );
255
256                 return "<p><label for=\"wpCaptchaWord\">{$captcha['question']}</label> = " .
257                         Xml::element( 'input', array(
258                                 'name' => 'wpCaptchaWord',
259                                 'id'   => 'wpCaptchaWord',
260                                 'tabindex' => 1 ) ) . // tab in before the edit textarea
261                         "</p>\n" .
262                         Xml::element( 'input', array(
263                                 'type'  => 'hidden',
264                                 'name'  => 'wpCaptchaId',
265                                 'id'    => 'wpCaptchaId',
266                                 'value' => $index ) );
267         }
268
269         /**
270          * Insert the captcha prompt into an edit form.
271          * @param OutputPage $out
272          */
273         function editCallback( &$out ) {
274                 $out->addWikiText( $this->getMessage( $this->action ) );
275                 $out->addHTML( $this->getForm() );
276         }
277
278         /**
279          * Show a message asking the user to enter a captcha on edit
280          * The result will be treated as wiki text
281          *
282          * @param $action Action being performed
283          * @return string
284          */
285         function getMessage( $action ) {
286                 $name = 'captcha-' . $action;
287                 $text = wfMsg( $name );
288                 # Obtain a more tailored message, if possible, otherwise, fall back to
289                 # the default for edits
290                 return wfEmptyMsg( $name, $text ) ? wfMsg( 'captcha-edit' ) : $text;
291         }
292
293         /**
294          * Inject whazawhoo
295          * @fixme if multiple thingies insert a header, could break
296          * @param $form HTMLForm
297          * @return bool true to keep running callbacks
298          */
299         function injectEmailUser( &$form ) {
300                 global $wgCaptchaTriggers, $wgOut, $wgUser;
301                 if ( $wgCaptchaTriggers['sendemail'] ) {
302                         if ( $wgUser->isAllowed( 'skipcaptcha' ) ) {
303                                 wfDebug( "ConfirmEdit: user group allows skipping captcha on email sending\n" );
304                                 return true;
305                         }
306                         $form->addFooterText( 
307                                 "<div class='captcha'>" .
308                                 $wgOut->parse( $this->getMessage( 'sendemail' ) ) .
309                                 $this->getForm() .
310                                 "</div>\n" );
311                 }
312                 return true;
313         }
314
315         /**
316          * Inject whazawhoo
317          * @fixme if multiple thingies insert a header, could break
318          * @param QuickTemplate $template
319          * @return bool true to keep running callbacks
320          */
321         function injectUserCreate( &$template ) {
322                 global $wgCaptchaTriggers, $wgOut, $wgUser;
323                 if ( $wgCaptchaTriggers['createaccount'] ) {
324                         if ( $wgUser->isAllowed( 'skipcaptcha' ) ) {
325                                 wfDebug( "ConfirmEdit: user group allows skipping captcha on account creation\n" );
326                                 return true;
327                         }
328                         $template->set( 'header',
329                                 "<div class='captcha'>" .
330                                 $wgOut->parse( $this->getMessage( 'createaccount' ) ) .
331                                 $this->getForm() .
332                                 "</div>\n" );
333                 }
334                 return true;
335         }
336
337         /**
338          * Inject a captcha into the user login form after a failed
339          * password attempt as a speedbump for mass attacks.
340          * @fixme if multiple thingies insert a header, could break
341          * @param $template QuickTemplate
342          * @return bool true to keep running callbacks
343          */
344         function injectUserLogin( &$template ) {
345                 if ( $this->isBadLoginTriggered() ) {
346                         global $wgOut;
347                         $template->set( 'header',
348                                 "<div class='captcha'>" .
349                                 $wgOut->parse( $this->getMessage( 'badlogin' ) ) .
350                                 $this->getForm() .
351                                 "</div>\n" );
352                 }
353                 return true;
354         }
355
356         /**
357          * When a bad login attempt is made, increment an expiring counter
358          * in the memcache cloud. Later checks for this may trigger a
359          * captcha display to prevent too many hits from the same place.
360          * @param User $user
361          * @param string $password
362          * @param int $retval authentication return value
363          * @return bool true to keep running callbacks
364          */
365         function triggerUserLogin( $user, $password, $retval ) {
366                 global $wgCaptchaTriggers, $wgCaptchaBadLoginExpiration, $wgMemc;
367                 if ( $retval == LoginForm::WRONG_PASS && $wgCaptchaTriggers['badlogin'] ) {
368                         $key = $this->badLoginKey();
369                         $count = $wgMemc->get( $key );
370                         if ( !$count ) {
371                                 $wgMemc->add( $key, 0, $wgCaptchaBadLoginExpiration );
372                         }
373                         $count = $wgMemc->incr( $key );
374                 }
375                 return true;
376         }
377
378         /**
379          * Check if a bad login has already been registered for this
380          * IP address. If so, require a captcha.
381          * @return bool
382          * @access private
383          */
384         function isBadLoginTriggered() {
385                 global $wgMemc, $wgCaptchaBadLoginAttempts;
386                 return intval( $wgMemc->get( $this->badLoginKey() ) ) >= $wgCaptchaBadLoginAttempts;
387         }
388
389         /**
390          * Check if the IP is allowed to skip captchas
391          */
392         function isIPWhitelisted() {
393                 global $wgCaptchaWhitelistIP;
394                 if ( $wgCaptchaWhitelistIP ) {
395                         $ip = wfGetIp();
396                         foreach ( $wgCaptchaWhitelistIP as $range ) {
397                                 if ( IP::isInRange( $ip, $range ) ) {
398                                         return true;
399                                 }
400                         }
401                 }
402                 return false;
403         }
404
405         /**
406          * Internal cache key for badlogin checks.
407          * @return string
408          * @access private
409          */
410         function badLoginKey() {
411                 return wfMemcKey( 'captcha', 'badlogin', 'ip', wfGetIP() );
412         }
413
414         /**
415          * Check if the submitted form matches the captcha session data provided
416          * by the plugin when the form was generated.
417          *
418          * Override this!
419          *
420          * @param string $answer
421          * @param array $info
422          * @return bool
423          */
424         function keyMatch( $answer, $info ) {
425                 return $answer == $info['answer'];
426         }
427
428         // ----------------------------------
429
430         /**
431          * @param EditPage $editPage
432          * @param string $action (edit/create/addurl...)
433          * @return bool true if action triggers captcha on editPage's namespace
434          */
435         function captchaTriggers( &$editPage, $action ) {
436                 global $wgCaptchaTriggers, $wgCaptchaTriggersOnNamespace;
437                 // Special config for this NS?
438                 if ( isset( $wgCaptchaTriggersOnNamespace[$editPage->mTitle->getNamespace()][$action] ) )
439                         return $wgCaptchaTriggersOnNamespace[$editPage->mTitle->getNamespace()][$action];
440
441                 return ( !empty( $wgCaptchaTriggers[$action] ) ); // Default
442         }
443
444         /**
445          * @param EditPage $editPage
446          * @param string $newtext
447          * @param string $section
448          * @return bool true if the captcha should run
449          */
450         function shouldCheck( &$editPage, $newtext, $section, $merged = false ) {
451                 $this->trigger = '';
452                 $title = $editPage->mArticle->getTitle();
453
454                 global $wgUser;
455                 if ( $wgUser->isAllowed( 'skipcaptcha' ) ) {
456                         wfDebug( "ConfirmEdit: user group allows skipping captcha\n" );
457                         return false;
458                 }
459                 if ( $this->isIPWhitelisted() )
460                         return false;
461
462
463                 global $wgEmailAuthentication, $ceAllowConfirmedEmail;
464                 if ( $wgEmailAuthentication && $ceAllowConfirmedEmail &&
465                         $wgUser->isEmailConfirmed() ) {
466                         wfDebug( "ConfirmEdit: user has confirmed mail, skipping captcha\n" );
467                         return false;
468                 }
469
470                 if ( $this->captchaTriggers( $editPage, 'edit' ) ) {
471                         // Check on all edits
472                         global $wgUser;
473                         $this->trigger = sprintf( "edit trigger by '%s' at [[%s]]",
474                                 $wgUser->getName(),
475                                 $title->getPrefixedText() );
476                         $this->action = 'edit';
477                         wfDebug( "ConfirmEdit: checking all edits...\n" );
478                         return true;
479                 }
480
481                 if ( $this->captchaTriggers( $editPage, 'create' )  && !$editPage->mTitle->exists() ) {
482                         // Check if creating a page
483                         global $wgUser;
484                         $this->trigger = sprintf( "Create trigger by '%s' at [[%s]]",
485                                 $wgUser->getName(),
486                                 $title->getPrefixedText() );
487                         $this->action = 'create';
488                         wfDebug( "ConfirmEdit: checking on page creation...\n" );
489                         return true;
490                 }
491
492                 if ( $this->captchaTriggers( $editPage, 'addurl' ) ) {
493                         // Only check edits that add URLs
494                         if ( $merged ) {
495                                 // Get links from the database
496                                 $oldLinks = $this->getLinksFromTracker( $title );
497                                 // Share a parse operation with Article::doEdit()
498                                 $editInfo = $editPage->mArticle->prepareTextForEdit( $newtext );
499                                 $newLinks = array_keys( $editInfo->output->getExternalLinks() );
500                         } else {
501                                 // Get link changes in the slowest way known to man
502                                 $oldtext = $this->loadText( $editPage, $section );
503                                 $oldLinks = $this->findLinks( $editPage, $oldtext );
504                                 $newLinks = $this->findLinks( $editPage, $newtext );
505                         }
506
507                         $unknownLinks = array_filter( $newLinks, array( &$this, 'filterLink' ) );
508                         $addedLinks = array_diff( $unknownLinks, $oldLinks );
509                         $numLinks = count( $addedLinks );
510
511                         if ( $numLinks > 0 ) {
512                                 global $wgUser;
513                                 $this->trigger = sprintf( "%dx url trigger by '%s' at [[%s]]: %s",
514                                         $numLinks,
515                                         $wgUser->getName(),
516                                         $title->getPrefixedText(),
517                                         implode( ", ", $addedLinks ) );
518                                 $this->action = 'addurl';
519                                 return true;
520                         }
521                 }
522
523                 global $wgCaptchaRegexes;
524                 if ( $wgCaptchaRegexes ) {
525                         // Custom regex checks
526                         $oldtext = $this->loadText( $editPage, $section );
527
528                         foreach ( $wgCaptchaRegexes as $regex ) {
529                                 $newMatches = array();
530                                 if ( preg_match_all( $regex, $newtext, $newMatches ) ) {
531                                         $oldMatches = array();
532                                         preg_match_all( $regex, $oldtext, $oldMatches );
533
534                                         $addedMatches = array_diff( $newMatches[0], $oldMatches[0] );
535
536                                         $numHits = count( $addedMatches );
537                                         if ( $numHits > 0 ) {
538                                                 global $wgUser;
539                                                 $this->trigger = sprintf( "%dx %s at [[%s]]: %s",
540                                                         $numHits,
541                                                         $regex,
542                                                         $wgUser->getName(),
543                                                         $title->getPrefixedText(),
544                                                         implode( ", ", $addedMatches ) );
545                                                 $this->action = 'edit';
546                                                 return true;
547                                         }
548                                 }
549                         }
550                 }
551
552                 return false;
553         }
554
555         /**
556          * Filter callback function for URL whitelisting
557          * @param string url to check
558          * @return bool true if unknown, false if whitelisted
559          * @access private
560          */
561         function filterLink( $url ) {
562                 global $wgCaptchaWhitelist;
563                 $source = wfMsgForContent( 'captcha-addurl-whitelist' );
564
565                 $whitelist = wfEmptyMsg( 'captcha-addurl-whitelist', $source )
566                         ? false
567                         : $this->buildRegexes( explode( "\n", $source ) );
568
569                 $cwl = $wgCaptchaWhitelist !== false ? preg_match( $wgCaptchaWhitelist, $url ) : false;
570                 $wl  = $whitelist          !== false ? preg_match( $whitelist, $url )          : false;
571
572                 return !( $cwl || $wl );
573         }
574
575         /**
576          * Build regex from whitelist
577          * @param string lines from [[MediaWiki:Captcha-addurl-whitelist]]
578          * @return string Regex or bool false if whitelist is empty
579          * @access private
580          */
581         function buildRegexes( $lines ) {
582                 # Code duplicated from the SpamBlacklist extension (r19197)
583
584                 # Strip comments and whitespace, then remove blanks
585                 $lines = array_filter( array_map( 'trim', preg_replace( '/#.*$/', '', $lines ) ) );
586
587                 # No lines, don't make a regex which will match everything
588                 if ( count( $lines ) == 0 ) {
589                         wfDebug( "No lines\n" );
590                         return false;
591                 } else {
592                         # Make regex
593                         # It's faster using the S modifier even though it will usually only be run once
594                         // $regex = 'http://+[a-z0-9_\-.]*(' . implode( '|', $lines ) . ')';
595                         // return '/' . str_replace( '/', '\/', preg_replace('|\\\*/|', '/', $regex) ) . '/Si';
596                         $regexes = '';
597                         $regexStart = '/^https?:\/\/+[a-z0-9_\-.]*(';
598                         $regexEnd = ')/Si';
599                         $regexMax = 4096;
600                         $build = false;
601                         foreach ( $lines as $line ) {
602                                 // FIXME: not very robust size check, but should work. :)
603                                 if ( $build === false ) {
604                                         $build = $line;
605                                 } elseif ( strlen( $build ) + strlen( $line ) > $regexMax ) {
606                                         $regexes .= $regexStart .
607                                                 str_replace( '/', '\/', preg_replace( '|\\\*/|', '/', $build ) ) .
608                                                 $regexEnd;
609                                         $build = $line;
610                                 } else {
611                                         $build .= '|' . $line;
612                                 }
613                         }
614                         if ( $build !== false ) {
615                                 $regexes .= $regexStart .
616                                         str_replace( '/', '\/', preg_replace( '|\\\*/|', '/', $build ) ) .
617                                         $regexEnd;
618                         }
619                         return $regexes;
620                 }
621         }
622
623         /**
624          * Load external links from the externallinks table
625          * @param $title Title
626          * @return Array
627          */
628         function getLinksFromTracker( $title ) {
629                 $dbr = wfGetDB( DB_SLAVE );
630                 $id = $title->getArticleId(); // should be zero queries
631                 $res = $dbr->select( 'externallinks', array( 'el_to' ),
632                         array( 'el_from' => $id ), __METHOD__ );
633                 $links = array();
634                 foreach ( $res as $row ) {
635                         $links[] = $row->el_to;
636                 }
637                 return $links;
638         }
639
640         /**
641          * Backend function for confirmEdit() and confirmEditAPI()
642          * @return bool false if the CAPTCHA is rejected, true otherwise
643          */
644         private function doConfirmEdit( $editPage, $newtext, $section, $merged = false ) {
645                 if ( $this->shouldCheck( $editPage, $newtext, $section, $merged ) ) {
646                         if ( $this->passCaptcha() ) {
647                                 return true;
648                         } else {
649                                 return false;
650                         }
651                 } else {
652                         wfDebug( "ConfirmEdit: no need to show captcha.\n" );
653                         return true;
654                 }
655         }
656
657         /**
658          * The main callback run on edit attempts.
659          * @param EditPage $editPage
660          * @param string $newtext
661          * @param string $section
662          * @param bool $merged
663          * @return bool true to continue saving, false to abort and show a captcha form
664          */
665         function confirmEdit( $editPage, $newtext, $section, $merged = false ) {
666                 if ( defined( 'MW_API' ) ) {
667                         # API mode
668                         # The CAPTCHA was already checked and approved
669                         return true;
670                 }
671                 if ( !$this->doConfirmEdit( $editPage, $newtext, $section, $merged ) ) {
672                         $editPage->showEditForm( array( &$this, 'editCallback' ) );
673                         return false;
674                 }
675                 return true;
676         }
677
678         /**
679          * A more efficient edit filter callback based on the text after section merging
680          * @param EditPage $editPage
681          * @param string $newtext
682          */
683         function confirmEditMerged( $editPage, $newtext ) {
684                 return $this->confirmEdit( $editPage, $newtext, false, true );
685         }
686
687
688         function confirmEditAPI( $editPage, $newtext, &$resultArr ) {
689                 if ( !$this->doConfirmEdit( $editPage, $newtext, false, false ) ) {
690                         $this->addCaptchaAPI( $resultArr );
691                         return false;
692                 }
693                 return true;
694         }
695
696         /**
697          * Hook for user creation form submissions.
698          * @param User $u
699          * @param string $message
700          * @return bool true to continue, false to abort user creation
701          */
702         function confirmUserCreate( $u, &$message ) {
703                 global $wgCaptchaTriggers, $wgUser;
704                 if ( $wgCaptchaTriggers['createaccount'] ) {
705                         if ( $wgUser->isAllowed( 'skipcaptcha' ) ) {
706                                 wfDebug( "ConfirmEdit: user group allows skipping captcha on account creation\n" );
707                                 return true;
708                         }
709                         if ( $this->isIPWhitelisted() )
710                                 return true;
711
712                         $this->trigger = "new account '" . $u->getName() . "'";
713                         if ( !$this->passCaptcha() ) {
714                                 $message = wfMsg( 'captcha-createaccount-fail' );
715                                 return false;
716                         }
717                 }
718                 return true;
719         }
720
721         /**
722          * Hook for user login form submissions.
723          * @param User $u
724          * @param string $message
725          * @return bool true to continue, false to abort user creation
726          */
727         function confirmUserLogin( $u, $pass, &$retval ) {
728                 if ( $this->isBadLoginTriggered() ) {
729                         if ( $this->isIPWhitelisted() )
730                                 return true;
731
732                         $this->trigger = "post-badlogin login '" . $u->getName() . "'";
733                         if ( !$this->passCaptcha() ) {
734                                 // Emulate a bad-password return to confuse the shit out of attackers
735                                 $retval = LoginForm::WRONG_PASS;
736                                 return false;
737                         }
738                 }
739                 return true;
740         }
741
742         /**
743          * Check the captcha on Special:EmailUser 
744          * @param $from MailAddress
745          * @param $to MailAddress
746          * @param $subject String
747          * @param $text String
748          * @param $error String reference
749          * @return Bool true to continue saving, false to abort and show a captcha form
750          */
751         function confirmEmailUser( $from, $to, $subject, $text, &$error ) {
752                 global $wgCaptchaTriggers, $wgUser;
753                 if ( $wgCaptchaTriggers['sendemail'] ) {
754                         if ( $wgUser->isAllowed( 'skipcaptcha' ) ) {
755                                 wfDebug( "ConfirmEdit: user group allows skipping captcha on email sending\n" );
756                                 return true;
757                         }
758                         if ( $this->isIPWhitelisted() )
759                                 return true;
760                 
761                         if ( defined( 'MW_API' ) ) {
762                                 # API mode
763                                 # Asking for captchas in the API is really silly
764                                 $error = wfMsg( 'captcha-disabledinapi' );
765                                 return false;
766                         }
767                         $this->trigger = "{$wgUser->getName()} sending email";
768                         if ( !$this->passCaptcha() ) {
769                                 $error = wfMsg( 'captcha-sendemail-fail' );
770                                 return false;
771                         }
772                 }
773                 return true;
774         }
775
776         /**
777          * Given a required captcha run, test form input for correct
778          * input on the open session.
779          * @return bool if passed, false if failed or new session
780          */
781         function passCaptcha() {
782                 $info = $this->retrieveCaptcha();
783                 if ( $info ) {
784                         global $wgRequest;
785                         if ( $this->keyMatch( $wgRequest->getVal( 'wpCaptchaWord' ), $info ) ) {
786                                 $this->log( "passed" );
787                                 $this->clearCaptcha( $info );
788                                 return true;
789                         } else {
790                                 $this->clearCaptcha( $info );
791                                 $this->log( "bad form input" );
792                                 return false;
793                         }
794                 } else {
795                         $this->log( "new captcha session" );
796                         return false;
797                 }
798         }
799
800         /**
801          * Log the status and any triggering info for debugging or statistics
802          * @param string $message
803          */
804         function log( $message ) {
805                 wfDebugLog( 'captcha', 'ConfirmEdit: ' . $message . '; ' .  $this->trigger );
806         }
807
808         /**
809          * Generate a captcha session ID and save the info in PHP's session storage.
810          * (Requires the user to have cookies enabled to get through the captcha.)
811          *
812          * A random ID is used so legit users can make edits in multiple tabs or
813          * windows without being unnecessarily hobbled by a serial order requirement.
814          * Pass the returned id value into the edit form as wpCaptchaId.
815          *
816          * @param array $info data to store
817          * @return string captcha ID key
818          */
819         function storeCaptcha( $info ) {
820                 if ( !isset( $info['index'] ) ) {
821                         // Assign random index if we're not udpating
822                         $info['index'] = strval( mt_rand() );
823                 }
824                 CaptchaStore::get()->store( $info['index'], $info );
825                 return $info['index'];
826         }
827
828         /**
829          * Fetch this session's captcha info.
830          * @return mixed array of info, or false if missing
831          */
832         function retrieveCaptcha() {
833                 global $wgRequest;
834                 $index = $wgRequest->getVal( 'wpCaptchaId' );
835                 return CaptchaStore::get()->retrieve( $index );
836         }
837
838         /**
839          * Clear out existing captcha info from the session, to ensure
840          * it can't be reused.
841          */
842         function clearCaptcha( $info ) {
843                 CaptchaStore::get()->clear( $info['index'] );
844         }
845
846         /**
847          * Retrieve the current version of the page or section being edited...
848          * @param EditPage $editPage
849          * @param string $section
850          * @return string
851          * @access private
852          */
853         function loadText( $editPage, $section ) {
854                 $rev = Revision::newFromTitle( $editPage->mTitle );
855                 if ( is_null( $rev ) ) {
856                         return "";
857                 } else {
858                         $text = $rev->getText();
859                         if ( $section != '' ) {
860                                 global $wgParser;
861                                 return $wgParser->getSection( $text, $section );
862                         } else {
863                                 return $text;
864                         }
865                 }
866         }
867
868         /**
869          * Extract a list of all recognized HTTP links in the text.
870          * @param string $text
871          * @return array of strings
872          */
873         function findLinks( &$editpage, $text ) {
874                 global $wgParser, $wgUser;
875
876                 $options = new ParserOptions();
877                 $text = $wgParser->preSaveTransform( $text, $editpage->mTitle, $wgUser, $options );
878                 $out = $wgParser->parse( $text, $editpage->mTitle, $options );
879
880                 return array_keys( $out->getExternalLinks() );
881         }
882
883         /**
884          * Show a page explaining what this wacky thing is.
885          */
886         function showHelp() {
887                 global $wgOut;
888                 $wgOut->setPageTitle( wfMsg( 'captchahelp-title' ) );
889                 $wgOut->addWikiText( wfMsg( 'captchahelp-text' ) );
890                 if ( CaptchaStore::get()->cookiesNeeded() ) {
891                         $wgOut->addWikiText( wfMsg( 'captchahelp-cookies-needed' ) );
892                 }
893         }
894 }