<?php
/**
 * API avec Rate Limiting Basique (VULNÉRABLE)
 * À déployer sur https://visaswiftsite.site/api.php
 */

header('Content-Type: application/json');
header('Access-Control-Allow-Origin: *');
header('Access-Control-Allow-Methods: GET, POST, OPTIONS');
header('Access-Control-Allow-Headers: Content-Type, X-Forwarded-For, X-Real-IP, User-Agent');

// Gérer les requêtes OPTIONS (CORS)
if ($_SERVER['REQUEST_METHOD'] === 'OPTIONS') {
    http_response_code(200);
    exit();
}

// Configuration
define('RATE_LIMIT', 10);        // Max 10 requêtes
define('WINDOW_SECONDS', 60);    // Par période de 60 secondes
define('LOG_FILE', 'rate_limit_log.txt');

// Fonction pour obtenir l'IP du client
function getClientIP() {
    // ❌ VULNÉRABLE : Fait confiance aux headers
    if (!empty($_SERVER['HTTP_X_FORWARDED_FOR'])) {
        return $_SERVER['HTTP_X_FORWARDED_FOR'];
    }
    if (!empty($_SERVER['HTTP_X_REAL_IP'])) {
        return $_SERVER['HTTP_X_REAL_IP'];
    }
    if (!empty($_SERVER['HTTP_CLIENT_IP'])) {
        return $_SERVER['HTTP_CLIENT_IP'];
    }
    return $_SERVER['REMOTE_ADDR'];
}

// Fonction pour normaliser l'URL (BASIQUE - vulnérable)
function normalizeURL() {
    // ❌ VULNÉRABLE : Ne retire pas les extensions
    // ❌ VULNÉRABLE : Ne normalise pas les paramètres
    $path = $_SERVER['REQUEST_URI'];
    return $path;
}

// Fonction de rate limiting
function checkRateLimit() {
    $ip = getClientIP();
    $url = normalizeURL();
    
    // Créer une clé unique (IP + URL)
    // ❌ VULNÉRABLE : Clé prévisible
    $key = md5($ip . $url);
    
    // Fichier de stockage basique (pas de Redis)
    $storage_file = sys_get_temp_dir() . '/rate_limit_' . $key . '.json';
    
    // Lire les données existantes
    $data = [];
    if (file_exists($storage_file)) {
        $content = file_get_contents($storage_file);
        $data = json_decode($content, true) ?: [];
    }
    
    // Nettoyer les anciennes entrées
    $now = time();
    $data = array_filter($data, function($timestamp) use ($now) {
        return ($now - $timestamp) < WINDOW_SECONDS;
    });
    
    // Compter les requêtes dans la fenêtre
    $count = count($data);
    
    // Logger
    logRequest($ip, $url, $count);
    
    // Vérifier la limite
    if ($count >= RATE_LIMIT) {
        http_response_code(429);
        
        $reset_time = min($data) + WINDOW_SECONDS;
        $retry_after = $reset_time - $now;
        
        header("Retry-After: $retry_after");
        header("X-RateLimit-Limit: " . RATE_LIMIT);
        header("X-RateLimit-Remaining: 0");
        header("X-RateLimit-Reset: $reset_time");
        
        echo json_encode([
            'error' => 'Too Many Requests',
            'message' => "Rate limit exceeded. Try again in $retry_after seconds.",
            'limit' => RATE_LIMIT,
            'window' => WINDOW_SECONDS,
            'retry_after' => $retry_after
        ]);
        
        exit();
    }
    
    // Ajouter cette requête
    $data[] = $now;
    file_put_contents($storage_file, json_encode($data));
    
    // Headers informatifs
    $remaining = RATE_LIMIT - count($data);
    header("X-RateLimit-Limit: " . RATE_LIMIT);
    header("X-RateLimit-Remaining: $remaining");
    header("X-RateLimit-Reset: " . ($now + WINDOW_SECONDS));
    
    return true;
}

// Fonction de logging
function logRequest($ip, $url, $count) {
    $timestamp = date('Y-m-d H:i:s');
    $method = $_SERVER['REQUEST_METHOD'];
    $user_agent = $_SERVER['HTTP_USER_AGENT'] ?? 'Unknown';
    
    $log_entry = sprintf(
        "[%s] IP: %s | Method: %s | URL: %s | Count: %d/%d | UA: %s\n",
        $timestamp,
        $ip,
        $method,
        $url,
        $count + 1,
        RATE_LIMIT,
        substr($user_agent, 0, 50)
    );
    
    file_put_contents(LOG_FILE, $log_entry, FILE_APPEND);
}

// Vérifier le rate limit
checkRateLimit();

// Si on arrive ici, la requête est autorisée
$response = [
    'success' => true,
    'message' => 'Request accepted',
    'timestamp' => time(),
    'data' => [
        'ip_detected' => getClientIP(),
        'url' => $_SERVER['REQUEST_URI'],
        'method' => $_SERVER['REQUEST_METHOD'],
        'headers_received' => getallheaders()
    ]
];

echo json_encode($response, JSON_PRETTY_PRINT);
?>