#!/usr/bin/env ruby21
# coding: utf-8
# fruits3.rb
require 'sqlite3'
require 'kconv'
require 'cgi'
$myname = 'fruits3.rb'
$dbfile = "tmpdb/fruits.sq3"
# セッションキーのPREFIXを、接続IPアドレス+日付にしていずれか一方でも
# 変わった場合は使えないようにする。
skeyprefix = ENV["REMOTE_ADDR"] + Time.now.strftime("/%Y%m%d%H%M/")

cgi = CGI.new(:accept_charset => "utf-8")
db = SQLite3::Database.new($dbfile)
# ログイン画面から来たものであれば，パスワード照合し，セッションキーを生成
# して表に格納する。
user = cgi['user']              # ログインフォームから来た場合値が入る
authok = nil                    # 認証できたかどうか
wasureta = "wasureta"		# パスワード失念時の呪文
logininfo = ""			# ログインプロンプトの追加メッセージ

cookie = Hash.new		# cookieをHashに取得
if (c=ENV['HTTP_COOKIE'])       # 環境変数 HTTP_COOKIE にcookieリストがある
  c.split(/[;,]\s+/).each do |exp|  # (セミコロンかカンマ)+空白 で分解
    if /(.*)=(.*)/ =~ exp       # =の前後で分解 「変数=値;」
      key	= CGI::unescape($1)	# 変数も値もエスケープされているので
      value	= CGI::unescape($2)	# 元に戻す
      cookie[key] = CGI::unescape(value)
    end
  end
end
skey = cookie['skey']           # cookieにある(はずの)セッションキー

if user && user > ""            # ログインフォームからきた場合
  pswd  = cgi['pswd']
  r = db.execute("select pswd from user where uname = ?", user)[0]
  if r && pswd.crypt(r[0]) == r[0] # r[0]はdb内のpswd
    # パスワード照合OKなので新セッションキーを「IPアドレス+ランダム」で生成
    skey = skeyprefix+ [*'a'..'z'].sample(14).join
    db.execute("update user set skey = ? where uname=?", skey, user)
    authok = true               # 認証フラグON
  elsif pswd == wasureta
    if /(.*)@(.*)/ =~ user
      system "../useradm.rb #{user} #{$dbfile} | Mail -s newuser #{user}"
      logininfo = "指定したメイルアドレスに送信しました。"
    end
  end
elsif skey && skey > ""
  user = cookie['user']
  r=db.execute("select skey from user where uname = ?", user)[0]
  skeyinfo = [user, r]                     # デバッグ用
  if r && r[0] && r[0] == skey             # cookie skey == saved skey
    if skey.index(skeyprefix) == 0 # セッションキーが継続して使えるものか検査
      authok = true                # 認証フラグON
    else
      logininfo = "ログイン有効時間終了です。再ログインをお願いします。"
    end
  end
end
if authok	# 認証成功ならcookie更新 (HTML本文より先に送出する)
  # 5時間有効
  expires = (Time.now.gmtime+3600*5).strftime("%a, %d-%m-%Y %H:%M:%S GMT")
  printf("Set-Cookie: skey=%s; expires=%s\n", skey, expires)
  printf("Set-Cookie: user=%s; expires=%s\n", user, expires)
end

# HTMLヘッダの出力 (<body>まで)
print <<_EOF_
Content-type: text/html; charset=utf-8

<html lang="ja">
<head><title>YAOYA</title></head>
<style type="text/css">
h2 {border-top: 2px groove #8aa;}
td, textarea {vertical-align: top;}
table {border: 1px solid blue; margin-left: 1em; border-collapse: collapse;}
tr, td, th {border: 1px solid blue; padding: 0.2ex 0.5ex;}
th {background: #aee;}
td:first-child+td {text-align: right;}
</style>
<body>
<!-- skey=#{skey}, skeyinfo=#{skeyinfo}, expires=#{expires} -->
<h1>yaoya DB</h1>
_EOF_

# user未確定ならログイン画面を出して終了
unless authok
  action = $myname
  if ARGV[0] then
    # 今回呼ばれた引数を入れて action="" を作成
    action += "?"+ARGV.each{|c| CGI::escape(c)}.join("+")
  end
  print <<_EOF_
<h2>ログイン</h2>
<form method="POST" action="#{action}">
<table>
<tr><td>User:</td><td><input name="user" size="40"></td></tr>
<tr><td>Password:</td><td><input name="pswd" type="password" size="40"></td></tr>
</table>
<p><input type="submit" value="OK">
<input type="reset" value="reset">
_EOF_
  # ログインタイムアウトしたときに同じ値を再入力させないために
  # この回に送られた値をすべてhidden変数に書き込んでおく。
  cgi.params.keys.each do |k|
    if cgi[k] && cgi[k] > ""
      printf("<input type=\"hidden\" name=\"%s\" value=\"%s\">\n", k, cgi[k])
    end
  end
  puts("</p></form>")
  if logininfo > ""
    printf("<p>%s</p>\n", logininfo)
  end
  puts("</body></html>\n")
  exit(0)
end

# フォーム画面をロードした時刻を hidden 変数に埋め込む
now = Time.now.to_i.to_s        # 1970/1/1からの秒数が入る

# 値入力フォームの初期値用の変数
fruit = at = memo = update = ""
# ./fruits3.rb -edit 1 のように呼ばれたら入力フォームに初期値を入れる
# -edit オプションは一覧表示のところで出している(※1)
if ARGV[0] == "-edit" && ARGV[1] != nil
  id = ARGV[1]                  # 更新するレコードのid
  r = db.execute("select * from kudamono where id=?", id)
  fruit, at, memo = r[0][1..-1]                   # 第2カラム以降すべて
  memo = CGI::unescapeHTML(memo.gsub("<br>", "")) # <br>は取り除く
  update = "<input type=\"hidden\" name=\"id\" value=\"#{id}\">\n"
end

# (1)入力フォーム出力
if update > ""
  printf("<h2>id=%dのレコード更新</h2>\n", id)
else
  puts("<h2>新規レコード入力</h2>")
end
print <<_EOF_
<form method="POST" action="#{$myname}">
品目: <input name="fruit" type="text" size="40" value="#{fruit}"><br>
単価: <input name="at" type="text" size="10" value="#{at}"><br>
メモ: <textarea name="memo" cols="60" rows="3">#{memo}</textarea><br>
<input name="mode" type="hidden" value="new">
<input type="submit" value="OK">
<input type="reset" value="reset"><br></p>
#{update}
</form>
_EOF_

if update > ""                  # update(更新値入力)ならここで出力終わり
  puts("</body>\n</html>")
  exit(0)
end

# (2)検索フォームの出力
print <<_EOF_
<h2>検索</h2>
<form method="POST" action="#{$myname}">
品目検索: <input name="kwd1" type="text" size="40"><br>
メモ検索: <input name="kwd2" type="text" size="40"><br>
<input name="mode" type="hidden" value="search">
<input type="submit" value="OK">
<input type="reset" value="reset"><br></p>
</form>
_EOF_
# フォーム出力終わり
# (1)と(2)のどちらの[OK]が押されたかはCGI変数 mode で判断する


# 一覧表示の前に，前回のCGI入力があったら先に登録する
name = cgi['fruit']
at   = cgi['at'].to_i
memo = cgi['memo']
mode = cgi['mode']              # この値が newなら登録, searchなら検索
update = cgi['update']		# この値が "" でなければ更新(update)
id = cgi['id']
rm = cgi['rm']			# [削除]ボタンが押された場合に代入される

# 品目が入力してあったなら実際にinsertにて登録 または updateで更新
if mode=="new" && name && (name=name.strip) > ""
  # これが呼ばれた時点で新規書き込みがあればinsert
  memo = CGI::escapeHTML(memo.chomp)  	# 記号をエスケープする
  memo.gsub!(/\r?\n/, "<br>\n")         # 改行に<br>を足す
  if id && id > ""                      # id指定があるなら既存レコード更新
    sql = "update kudamono set item=?, at=?, memo=? where id=#{id.to_i}"
  else                          # id指定がないなら新規レコード登録
    sql = "insert into kudamono(item, at, memo) values (?, ?, ?)"
  end
  db.execute(sql, name.toutf8, at, memo.toutf8)
  printf("<h2>%s完了通知</h2>\n", id > "" ? "更新" : "登録")
  printf("<p>[%s] が正常に登録されました。</p>\n", name.toutf8)
  # 新規書き込み登録/update ここまで
elsif rm && rm > ""             # 削除ボタンを押したとき
  cgi.keys.each do |k|          # keysで変数一覧. rm_#{id} があるはず
    next unless /rm_(\d+)/ =~ k	# CGI変数名が rm_X でなければスキップ
    db.execute("delete from kudamono where id=?", $1.to_i)
  end
end

def mktable(heading, result)
  # select の結果を表形式で一覧表示するメソッド
  h = "<tr><th>ID</th><th><input type=\"submit\" name=\"rm\" value=\"削除\"></th><th>品目</th><th>単価</th><th>メモ</th></tr>"
  n = -1                        # 表示何行目かを数える
  printf("<h2>%s</h2>\n", heading)
  puts('<form method="POST" action="#{$myname}">')
  puts('<table class="kudamono">')

  result.each do |row|
    puts(h) if (n+=1)%10 == 0    # 10行に1回見出し行を出す
    # row[0]とrow[1]の間に削除マークのcheckboxを挿入する
    id = row[0].to_i
    rmmk = "<input name=\"rm_#{id}\" type=\"checkbox\" value=\"yes\">"
    row.insert(1, rmmk)	# Arrayのinsertメソッドでずらし挿入できる
    # ↑で品目が row[2] にずれ込む。
    # row[2]を修正リンクに変更する(※1)
    row[2] = "<a href=\"fruits3.rb?-edit+#{id}\">" + row[2] + "</a>"
    # これで品目の部分が
    #    <a href="fruits3.rb?-edit+1">りんご</a>
    # のようになる。これは「./fruits3.rb -edit 1」と起動する。
    # CGIプログラムへの引数は ? で区切り，
    # 引数間の区切りの空白は + に置き換えて表す。
    printf("<tr><td>%s</td></tr>\n", row.join("</td><td>"))
  end

  puts('</table>')
  puts('</form>')
end

# 検索キーワード指定時の処理
if mode=="search"
  kwd1 = cgi['kwd1']; kwd2 = cgi['kwd2']
  if kwd1 > ""
    h = sprintf("<h2>品名検索結果: キーワード:[%s]", kwd1)
    r = db.execute("select * from kudamono where item like ?", "%"+kwd1+"%")
    mktable(h, r)
  end
  if kwd2 > ""
    h = sprintf("<h2>メモ検索結果: キーワード:[%s]", kwd2)
    r = db.execute("select * from kudamono where memo like ?", "%#{kwd2}%")
    mktable(h, r)
  else                          # 指定語なしの場合は一覧表示
    mktable("レコード一覧", db.execute("select * from kudamono"))
  end
else
  # (3)一覧表示(検索語指定がなかった場合)
  mktable("レコード一覧", db.execute("select * from kudamono"))
end

print <<_EOF_
</body>
</html>
_EOF_