source: branches/2.2/expressoAdmin1_2/inc/class.uimanagers.inc.php @ 1684

Revision 1684, 15.4 KB checked in by niltonneto, 14 years ago (diff)

Ticket #773 - Correção de problema crítico no acesso indevido aos links do Admin.

  • Property svn:eol-style set to native
  • Property svn:executable set to *
Line 
1<?php
2        /************************************************************************************\
3        * Expresso Administração                                                                                                    *
4        * by Joao Alfredo Knopik Junior (joao.alfredo@gmail.com, jakjr@celepar.pr.gov.br)   *
5        * ----------------------------------------------------------------------------------*
6        *  This program is free software; you can redistribute it and/or modify it                      *
7        *  under the terms of the GNU General Public License as published by the                        *
8        *  Free Software Foundation; either version 2 of the License, or (at your                       *
9        *  option) any later version.                                                                                                           *
10        \************************************************************************************/
11
12        class uimanagers
13        {
14                var $public_functions = array
15                (
16                        'list_managers'         => True,
17                        'add_managers'          => True,
18                        'delete_managers'       => True,
19                        'edit_managers'         => True,
20                        'validate'                      => True
21                );
22
23                var $functions;
24                var $config;
25
26                function uimanagers()
27                {
28                        $this->functions = CreateObject('expressoAdmin1_2.functions');
29                        $c = CreateObject('phpgwapi.config','expressoAdmin1_2');
30                        $c->read_repository();
31                        $this->config = $c->config_data;
32                       
33                        if(!@is_object($GLOBALS['phpgw']->js))
34                        {
35                                $GLOBALS['phpgw']->js = CreateObject('phpgwapi.javascript');
36                        }
37                        $GLOBALS['phpgw']->js->validate_file('jscode','connector','expressoAdmin1_2');#diretorio, arquivo.js, aplicacao
38                        $GLOBALS['phpgw']->js->validate_file('jscode','expressoadmin','expressoAdmin1_2');
39                        $GLOBALS['phpgw']->js->validate_file('jscode','managers','expressoAdmin1_2');
40                }
41
42                function row_action($lang,$link,$manager_lid,$context)
43                {       
44                        return '<a href="'.$GLOBALS['phpgw']->link('/index.php',Array(
45                                'menuaction' => 'expressoAdmin1_2.uimanagers.'.$link,
46                                'action'                =>      $lang,
47                                'manager_lid' => $manager_lid,
48                                'context' => $context
49                        )).'" onmouseover="window.status=\''.lang($lang).' Manager\'; return true;" onmouseout="window.status=\'\';" >'.lang($lang).' </a>';
50                }
51                               
52                function list_managers()
53                {
54                        // Caso nao seja admin, sai.
55                        if (!$GLOBALS['phpgw']->acl->check('run',1,'admin'))
56                        {
57                                $GLOBALS['phpgw']->redirect($GLOBALS['phpgw']->link('/admin/index.php'));
58                        }
59                        // Imprime o NavBar
60                        unset($GLOBALS['phpgw_info']['flags']['nonavbar']);
61                        $GLOBALS['phpgw_info']['flags']['app_header'] = $GLOBALS['phpgw_info']['apps']['expressoAdmin1_2']['title'].' - '.lang('List Managers');
62                        $GLOBALS['phpgw']->common->phpgw_header();
63
64                        // Seta o template
65                        $p = CreateObject('phpgwapi.Template',PHPGW_APP_TPL);
66                        $p->set_file(array('managers' => 'managers.tpl'));
67                        $p->set_block('managers','body','body');
68                        $p->set_block('managers','row','row');
69                        $p->set_block('managers','row_empty','row_empty');
70                        $tpl_vars = $p->get_undefined('body');
71
72                        $var = Array(
73                                'action'                        => $GLOBALS['phpgw']->link('/index.php','menuaction=expressoAdmin1_2.uimanagers.add_managers'),
74                                'tr_color'                      => '#DDDDDD',
75                                'th_bg'                 => $GLOBALS['phpgw_info']['theme']['th_bg']
76                        );
77
78                        // Cria dinamicamente os langs
79                        foreach ($tpl_vars as $atribute)
80                        {
81                                $lang = strstr($atribute, 'lang_');
82                                if($lang !== false)
83                                {
84                                        $p->set_var($atribute, $this->make_lang($atribute));
85                                }
86                        }
87
88                        // Le BD para pegar os administradors.
89                        $query = 'SELECT manager_lid,context FROM phpgw_expressoadmin ORDER by manager_lid';
90                        $GLOBALS['phpgw']->db->query($query);
91                        while($GLOBALS['phpgw']->db->next_record())
92                        {
93                                $managers[] = $GLOBALS['phpgw']->db->row();
94                        }
95                        $ldap_conn = $GLOBALS['phpgw']->common->ldapConnect();
96                        $justthese = array("cn");
97                        // Loop para listar os administradores
98                        if (count($managers))
99                        {
100                                foreach($managers as $array_managers)
101                                {
102                                        $managers_context = "";
103                                        $a_managers_context = split("%", $array_managers['context']);
104
105                                        foreach ($a_managers_context as $context)
106                                        {
107                                                $managers_context .= "$context<br>";
108                                        }
109                                       
110                                        $filter="(&(phpgwAccountType=u)(uid=".$array_managers['manager_lid']."))";
111                                        $ldap_search = ldap_search($ldap_conn, $GLOBALS['phpgw_info']['server']['ldap_context'], $filter, $justthese);
112                                        $ldap_result = ldap_get_entries($ldap_conn, $ldap_search);
113                                        $p->set_var('manager_lid', $array_managers[manager_lid]);
114                                        $p->set_var('manager_cn', $ldap_result[0]['cn'][0] == '' ? '<font color=red>NAO ENCONTRADO NO LDAP</font>' : $ldap_result[0]['cn'][0]);
115                                        $p->set_var('context', $managers_context);
116                                        $p->set_var('link_edit',$this->row_action('edit','edit_managers',$array_managers[manager_lid],$array_managers[context]));
117                                        $p->set_var('link_delete',$this->row_action('delete','delete_managers',$array_managers[manager_lid],$array_managers[context]));
118                                        $p->set_var('link_copy',"<a href='#' onClick='javascript:copy_manager(\"".$array_managers['manager_lid']."\");'>Copiar</a>");
119                                        $p->fp('rows','row',True);
120                                }
121                        }
122                        $p->set_var($var);
123                        $p->pfp('out','body');
124                        ldap_close($ldap_conn);
125                }
126
127
128                function add_managers()
129                {
130                        // Caso nao seja admin, sai.
131                        if (!$GLOBALS['phpgw']->acl->check('run',1,'admin'))
132                        {
133                                $GLOBALS['phpgw']->redirect($GLOBALS['phpgw']->link('/admin/index.php'));
134                        }
135                       
136                        // Seta o template
137                        $p = CreateObject('phpgwapi.Template',PHPGW_APP_TPL);
138                        $p->set_file(array('managers' => 'managers_form.tpl'));
139                        $p->set_block('managers','form','form');
140                        $tpl_vars = $p->get_undefined('form');
141
142                        // Imprime o NavBar
143                        unset($GLOBALS['phpgw_info']['flags']['nonavbar']);
144                        $GLOBALS['phpgw_info']['flags']['app_header'] = $GLOBALS['phpgw_info']['apps']['expressoAdmin1_2']['title'].' - '.lang('Add Managers');
145                        $GLOBALS['phpgw']->common->phpgw_header();
146                       
147                        // Seta variaveis javascript necessárias
148                        $webserver_url = $GLOBALS['phpgw_info']['server']['webserver_url'];
149                        $scripts_java = '<script type="text/javascript" src="'.$webserver_url.'/expressoAdmin1_2/js/jscode/expressoadmin.js"></script>';
150                       
151                        // App, create list of available apps
152                        $applications_list = $this->make_app_list('');
153                       
154                        /*
155                        if ($_POST['context'])
156                        {
157                                $contexts = split("%", $_POST['context']);
158                                foreach ($contexts as $manager_context)
159                                        $input_context_fields .= "<input type='text' size=60 value=$manager_context></input><br>";
160                        }
161                        else
162                                $input_context_fields = '<input type="text" size=60></input><br>';
163                        */
164                       
165                        $options_context = $this->functions->get_organizations($GLOBALS['phpgw_info']['server']['ldap_context'], '', false, true, false);
166                       
167                        // Seta variaveis que estao no TPL
168                        $var = Array(
169                                'scripts_java'                  =>      $scripts_java, 
170                                //'action'                              => $GLOBALS['phpgw']->link('/index.php','menuaction=expressoAdmin1_2.uimanagers.validate'),
171                                //'action'                              => $GLOBALS['phpgw']->link('/index.php','menuaction=expressoAdmin1_2.bomanagers.add_managers'),
172                                'display_samba_suport'  => $this->config['expressoAdmin_samba_support'] == 'true' ? '' : 'display:none',
173                                'type'                                  => "add",
174                                'color_bg1'                             => "#E8F0F0",
175                                'color_bg2'                             => "#D3DCE3",
176                                'color_font1'                   => "#DDDDDD",
177                                'color_font2'                   => "#EEEEEE",
178                                'input_context_fields'  => $input_context_fields,
179                                'error_messages'                => $_POST['error_messages'] == '' ? '' : '<script language="JavaScript">alert("'.$_POST['error_messages'].'");</script>',
180                                'manager_lid'                   => $_POST['manager_lid'],
181                                'context'                               => $_POST['context'],
182                                'app_list'                              => $applications_list,
183                                'options_contexts'              => $options_context
184                        );
185                        $p->set_var($var);
186                       
187                        // Cria dinamicamente os langs e seta acls
188                        foreach ($tpl_vars as $atribute)
189                        {
190                                $acl  = strstr($atribute, 'acl_');
191                                $lang = strstr($atribute, 'lang_');
192                                // Recuperar os valores das ACLS
193                                if ($acl !== false)
194                                {
195                                        $p->set_var($atribute, $_POST[$atribute] != '' ? 'checked' : '');
196                                }
197                                // Setar os langs do tpl.
198                                elseif($lang !== false)
199                                {
200                                        $p->set_var($atribute, $this->make_lang($atribute));
201                                }
202                        }
203                       
204                        echo $p->fp('out','form');
205                }
206       
207                function delete_managers()
208                {
209                        if (!$GLOBALS['phpgw']->acl->check('run',1,'admin'))
210                        {
211                                $GLOBALS['phpgw']->redirect($GLOBALS['phpgw']->link('/admin/index.php'));
212                        }
213                        // Criar uma verificação e jogar a query para o BO.
214                        $context = $_GET['context'];
215                        $manager_lid = $_GET['manager_lid'];
216                       
217                        $query = "DELETE FROM phpgw_expressoadmin WHERE manager_lid = '".$manager_lid."' AND context = '" . $context ."'";
218                        $GLOBALS['phpgw']->db->query($query);
219                       
220                        // Remove Gerente da tabela dos apps
221                        $query = "DELETE FROM phpgw_expressoadmin_apps WHERE "
222                        . "manager_lid = '".$manager_lid."' AND "
223                        . "context = '".$context."'";
224                        $GLOBALS['phpgw']->db->query($query);           
225                       
226                        // Remove Gerente na ACL do expressoadmin
227                        $accounts = CreateObject('phpgwapi.accounts');
228                        $manager_id = $accounts->name2id($_GET['manager_lid']);
229                        $sql = "DELETE FROM phpgw_acl WHERE acl_appname = 'expressoadmin' AND acl_account = '" . $manager_id . "'";
230                        $GLOBALS['phpgw']->db->query($sql);                     
231                       
232                        ExecMethod('expressoAdmin1_2.uimanagers.list_managers');
233                }
234       
235                function edit_managers()
236                {
237                        // Caso nao seja admin, sai.
238                        if (!$GLOBALS['phpgw']->acl->check('run',1,'admin'))
239                        {
240                                $GLOBALS['phpgw']->redirect($GLOBALS['phpgw']->link('/admin/index.php'));
241                        }
242                       
243                        // Verifica se eh a primeira entrada, ai eu tenho o get, senao pego o post.
244                        if ($_GET['manager_lid'] != '')
245                        {
246                                $first_time = true;
247                                $_POST['manager_lid']   = $_GET['manager_lid'];
248                                $_POST['context']               = $_GET['context'];
249                                $hidden_manager_lid             = $_GET['manager_lid'];
250                        }
251                        elseif ($_POST['manager_lid'] != '')
252                        {
253                                $first_time             = false;
254                                $hidden_manager_lid     = $_POST['old_manager_lid'];                           
255                        }
256                       
257                        if ($first_time)
258                        {
259                                //Pego ACL do gerente
260                                $manager = $this->functions->read_acl($_GET['manager_lid']);
261                                //Cria vetor da ACL
262                                $manager_acl = $this->functions->make_array_acl($manager['acl']);
263                                //Pesquisa no Banco e pega os valores dos apps.
264                                $query = "SELECT * FROM phpgw_expressoadmin_apps WHERE manager_lid = '" . $_GET['manager_lid'] . "' AND context = '" . $_GET['context'] . "'";
265                                $GLOBALS['phpgw']->db->query($query);
266                                $i=0;
267                                $manager[0]['apps'] = array();
268                                while($GLOBALS['phpgw']->db->next_record())
269                                {
270                                        $tmp[$i] = $GLOBALS['phpgw']->db->row();
271                                        $_POST['applications_list'][$tmp[$i]['app']] = 1;
272                                        $manager[0]['apps'][$tmp[$i]['app']] = 1;
273                                        $i++;
274                                }
275                        }
276                       
277                        // Seta o template
278                        $p = CreateObject('phpgwapi.Template',PHPGW_APP_TPL);
279                        $p->set_file(array('managers' => 'managers_form.tpl'));
280                        $p->set_block('managers','form','form');
281                        $tpl_vars = $p->get_undefined('form');
282                       
283                        // Imprime o NavBar
284                        unset($GLOBALS['phpgw_info']['flags']['nonavbar']);
285                        $GLOBALS['phpgw_info']['flags']['app_header'] = $GLOBALS['phpgw_info']['apps']['expressoAdmin1_2']['title'].' - '.lang('Edit Managers');
286                        $GLOBALS['phpgw']->common->phpgw_header();
287
288                        // Seta variaveis javas necessárias
289                        $webserver_url = $GLOBALS['phpgw_info']['server']['webserver_url'];
290                        $scripts_java = '<script type="text/javascript" src="'.$webserver_url.'/expressoAdmin1_2/js/jscode/expressoadmin.js"></script>';
291
292                        // App, create list of available apps
293                        $applications_list = $this->make_app_list($manager[0]['apps']);
294
295                        $a_context = split("%", $_POST['context']);
296                        foreach ($a_context as $context)
297                                $input_context_fields .= '<div><input disabled type="text" value="'.$context.'" size=60></input><span onclick="this.parentNode.parentNode.removeChild(this.parentNode);" style="cursor:pointer"> -</span></div>';
298                        $options_context = $this->functions->get_organizations($GLOBALS['phpgw_info']['server']['ldap_context'], '', false, true, false);
299
300                        $var = Array(
301                                'scripts_java'                          => $scripts_java,
302                                'action'                                        => $GLOBALS['phpgw']->link('/index.php','menuaction=expressoAdmin1_2.uimanagers.validate'),
303                                'display_samba_suport'          => $this->config['expressoAdmin_samba_support'] == 'true' ? '' : 'display:none',
304                                'color_bg1'                                     => "#E8F0F0",
305                                'color_bg2'                                     => "#D3DCE3",
306                                'color_font1'                           => "#DDDDDD",
307                                'color_font2'                           => "#EEEEEE",
308                                'type'                                          => "edit",
309                                'display_manager_select'        => 'none',
310                                'input_manager_lid_disabled'=> 'disabled',
311                                'error_messages'                        => $_POST['error_messages'] == '' ? '' : '<script language="JavaScript1.3">alert("'.$_POST['error_messages'].'");</script>',
312                                'manager_lid'                           => $_POST['manager_lid'],
313                                'hidden_manager_lid'            => $_POST['manager_lid'],
314                                'context'                                       => $_POST['context'],
315                               
316                                'input_context_fields'          => $input_context_fields,
317                                'options_contexts'                      => $options_context,
318                               
319                                'hidden_manager_lid'            => $hidden_manager_lid,
320                                'app_list'                                      => $applications_list
321                        );
322                        $p->set_var($var);
323                       
324                        // Cria dinamicamente os langs e seta acls
325                        foreach ($tpl_vars as $atribute)
326                        {
327                                $acl  = strstr($atribute, 'acl_');
328                                $lang = strstr($atribute, 'lang_');
329                                // Recuperar os valores das ACLS
330                                if ($acl !== false)
331                                {
332                                        if ($first_time)
333                                                $p->set_var($atribute, $manager_acl[$atribute] === '1' ? 'checked' : '');
334                                        else
335                                                $p->set_var($atribute, $_POST[$atribute] === '1' ? 'checked' : '');
336                                }
337                                // Setar os langs do tpl.
338                                elseif($lang !== false)
339                                {
340                                        $p->set_var($atribute, $this->make_lang($atribute));
341                                }
342                        }
343                       
344                        echo $p->fp('out','form');
345                }
346                               
347                function make_lang($ram_lang)
348                {
349                        $a_lang = split("_", $ram_lang);
350                        $a_lang_reverse  = array_reverse ( $a_lang, true );
351                        //Retira o lang do array.
352                        array_pop ( $a_lang_reverse );
353                        $a_lang  = array_reverse ( $a_lang_reverse, true );
354                        $a_new_lang = implode ( " ", $a_lang );
355                        return lang($a_new_lang);
356                }
357               
358                function make_app_list($manager_app_list)
359                {
360                        $this->nextmatchs = createobject('phpgwapi.nextmatchs');
361                        $apps = CreateObject('phpgwapi.applications',$_account_id);
362                        $db_perms = $apps->read_account_specific();
363                        $availableApps = $GLOBALS['phpgw_info']['apps'];
364                       
365                        uasort($availableApps,create_function('$a,$b','return strcasecmp($a["title"],$b["title"]);'));
366                       
367                        // Loop para criar dinamicamente uma tabela com 3 colunas, cada coluna com um aplicativo e um check box.
368                        $applications_list = '';
369                        $app_col1 = '';
370                        $app_col2 = '';
371                        $app_col3 = '';
372                        $total_apps = count($availableApps);
373                        $i = 0;
374
375                        foreach($availableApps as $app => $data)
376                        {
377                                // 1 coluna
378                                if (($i +1) % 3 == 1)
379                                {
380                                        if ($manager_app_list[$app] == 1)
381                                                $checked = 'checked';
382                                        else
383                                                $checked = '';
384                                        $app_col1 = sprintf("<td>%s</td><td width='10'><input type='checkbox' name='applications_list[%s]' value='1' %s %s></td>\n",
385                                        $data['title'],$app,$checked, $disabled);
386                                       
387                                        if ($i == ($total_apps-1))
388                                                $applications_list .= sprintf('<tr bgcolor="%s">%s</tr>',$this->nextmatchs->alternate_row_color(), $app_col1);
389                                }
390                                // 2 coluna
391                                if (($i +1) % 3 == 2)
392                                {
393                                        if ($manager_app_list[$app] == 1)
394                                                $checked = 'checked';
395                                        else
396                                                $checked = '';
397                                        $app_col2 = sprintf("<td>%s</td><td width='10'><input type='checkbox' name='applications_list[%s]' value='1' %s %s></td>\n",
398                                        $data['title'],$app,$checked, $disabled);
399                                       
400                                        if ($i == ($total_apps-1))
401                                                $applications_list .= sprintf('<tr bgcolor="%s">%s%s</tr>',$this->nextmatchs->alternate_row_color(), $app_col1,$app_col2);
402                                }
403                                // 3 coluna
404                                if (($i +1) % 3 == 0)
405                                {
406                                        if ($manager_app_list[$app] == 1)
407                                                $checked = 'checked';
408                                        else
409                                                $checked = '';
410                                        $app_col3 = sprintf("<td>%s</td><td width='10'><input type='checkbox' name='applications_list[%s]' value='1' %s %s></td>\n",
411                                        $data['title'],$app,$checked, $disabled);
412                                       
413                                        // Cria nova linha
414                                        $applications_list .= sprintf('<tr bgcolor="%s">%s%s%s</tr>',$this->nextmatchs->alternate_row_color(), $app_col1, $app_col2, $app_col3);                                       
415                                }
416                                $i++;
417                        }
418                        return $applications_list;
419                }
420        }
421?>
Note: See TracBrowser for help on using the repository browser.