source: trunk/expressoAdmin1_2/inc/class.uisectors.inc.php @ 1684

Revision 1684, 15.3 KB checked in by niltonneto, 14 years ago (diff)

Ticket #773 - Correção de problema crítico no acesso indevido aos links do Admin.

  • Property svn:eol-style set to native
  • Property svn:executable set to *
Line 
1<?php
2        /************************************************************************************\
3        * Expresso Administração                                                                                                     *
4        * by Joao Alfredo Knopik Junior (joao.alfredo@gmail.com, jakjr@celepar.pr.gov.br)        *
5        * -----------------------------------------------------------------------------------*
6        *  This program is free software; you can redistribute it and/or modify it                       *
7        *  under the terms of the GNU General Public License as published by the                         *
8        *  Free Software Foundation; either version 2 of the License, or (at your                        *
9        *  option) any later version.                                                                                                            *
10        \************************************************************************************/
11
12        class uisectors
13        {
14                var $public_functions = array
15                (
16                        'list_sectors'                                  => True,
17                        'add_sector'                                    => True,
18                        'validate_data_sectors_add'             => True,
19                        'edit_sector'                                   => True,
20                        'validate_data_sectors_edit'    => True,
21                        'delete_sector'                                 => True,
22                        'css'                                                   => True,
23                        'view_cota'                                             => True
24                );
25
26                var $bo;
27                var $nextmatchs;
28                var $functions;
29                       
30                function uisectors()
31                {
32                        $this->bo = CreateObject('expressoAdmin1_2.bosectors');
33                        $this->so = $this->bo->so;
34                        $this->functions = $this->bo->functions;
35                        $this->nextmatchs = createobject('phpgwapi.nextmatchs');
36                }
37               
38                function list_sectors()
39                {
40                        $manager_lid = $GLOBALS['phpgw']->accounts->data['account_lid'];
41                        $acl = $this->functions->read_acl($manager_lid);
42                        $contexts = $acl['contexts'];
43                        foreach ($acl['contexts_display'] as $index=>$tmp_context)
44                        {
45                                $context_display .= '<br>'.$tmp_context;
46                        }
47
48                        // Verifica se o administrador tem acesso.
49                        if (!$this->functions->check_acl($manager_lid,'list_sectors'))
50                        {
51                                $GLOBALS['phpgw']->redirect($GLOBALS['phpgw']->link('/expressoAdmin1_2/inc/access_denied.php'));
52                        }
53                       
54                        unset($GLOBALS['phpgw_info']['flags']['noheader']);
55                        unset($GLOBALS['phpgw_info']['flags']['nonavbar']);
56
57                        $GLOBALS['phpgw_info']['flags']['app_header'] = $GLOBALS['phpgw_info']['apps']['expressoAdmin1_2']['title'].' - '.lang('Sectors');
58                        $GLOBALS['phpgw']->common->phpgw_header();
59
60                        $p = CreateObject('phpgwapi.Template',PHPGW_APP_TPL);
61                        $p->set_file(array('sectors' => 'sectors.tpl'));
62                        $p->set_block('sectors','list','list');
63                        $p->set_block('sectors','row','row');
64                        $p->set_block('sectors','row_empty','row_empty');
65                       
66                        //$sectors_info = $this->functions->get_sectors_list($contexts);
67                        $sectors_info = $this->functions->get_organizations2($contexts);
68                       
69                        $var = Array(
70                                'th_bg'                                 => $GLOBALS['phpgw_info']['theme']['th_bg'],
71                                'back_url'                              => $GLOBALS['phpgw']->link('/expressoAdmin1_2/index.php'),
72                                'context_display'               => $context_display,
73                                'lang_inactives'                        => lang('list inactives'),
74                                'lang_ver_cota'         => lang('view cota')
75                        );
76                        $p->set_var($var);
77                        $p->set_var($this->functions->make_dinamic_lang($p, 'list'));
78
79                        if (!count($sectors_info))
80                        {
81                                $p->set_var('message',lang('No matches found'));
82                                $p->parse('rows','row_empty',True);
83                        }
84                        else
85                        {
86                                if ($this->functions->check_acl($manager_lid,'edit_sectors'))
87                                {
88                                        $can_edit = True;
89                                }
90
91                                if ($this->functions->check_acl($manager_lid,'delete_sectors'))
92                                {
93                                        $can_delete = True;
94                                }
95
96                                foreach($sectors_info as $context=>$sector)
97                                {
98                                        $tr_color = $this->nextmatchs->alternate_row_color($tr_color);
99                                       
100                                        $var = Array(
101                                                'tr_color'    => $tr_color,
102                                                'sector_name'  => $sector['display'],
103                                                'cota_link' => $this->row_action('view','cota',$sector['dn']),
104                                                'add_link' => $this->row_action('add','sector',$sector['dn'])
105                                        );                                     
106                                        if(isset($GLOBALS['phpgw_info']['server']['time_to_account_expires']))
107                                                $var['inactives_link'] = $this->row_action('list_inactive','users',$sector['dn'],'uiaccounts');
108                                        else
109                                                $var['inactives_link'] = lang('disabled');
110
111                                        $p->set_var($var);
112
113                                        if ($can_edit)
114                                        {
115                                                $p->set_var('edit_link',$this->row_action('edit','sector',$sector['dn']));
116                                        }
117                                        else
118                                        {
119                                                $p->set_var('edit_link','&nbsp;');
120                                        }
121
122                                        if ($can_delete)
123                                        {
124                                                $p->set_var('delete_link',$this->row_action('delete','sector',$sector['dn']));
125                                        }
126                                        else
127                                        {
128                                                $p->set_var('delete_link','&nbsp;');
129                                        }
130                                       
131                                        $p->fp('rows','row',True);
132                                }
133                        }
134                        $var = Array(
135                                'action' => $GLOBALS['phpgw']->link('/index.php','menuaction=expressoAdmin1_2.uisectors.add_sector')
136                        );
137                        $p->set_var($var);
138                        $p->set_var('input_add','<input type="submit" value="' . lang('Add Sectors') . '">');
139                       
140                        $p->parse('rows','row_empty',True);
141                        $p->pfp('out','list');
142                }
143
144               
145                function add_sector($context='')
146                {
147                        $manager_lid = $GLOBALS['phpgw']->accounts->data['account_lid'];
148                        $acl = $this->functions->read_acl($manager_lid);
149
150                        $manager_contexts = $acl['contexts'];
151                        $combo_manager_org = '';
152
153                        if ( array_key_exists( 'context', $_GET ) )
154                        {
155                                $context = $_GET['context'];
156                                $combo_manager_org = $this->functions->get_organizations( $context, '', true, true, true );
157                        }
158                        else
159                        {
160                                foreach ($manager_contexts as $index=>$context)
161                                        $combo_manager_org .= $this->functions->get_organizations( $context );
162                        }
163
164                        // Verifica se tem acesso a este modulo
165                        if (!$this->functions->check_acl($manager_lid,'create_sectors'))
166                        {
167                                $GLOBALS['phpgw']->redirect($GLOBALS['phpgw']->link('/expressoAdmin1_2/inc/access_denied.php'));
168                        }
169
170                        unset($GLOBALS['phpgw_info']['flags']['noheader']);
171                        unset($GLOBALS['phpgw_info']['flags']['nonavbar']);
172                        $GLOBALS['phpgw_info']['flags']['app_header'] = $GLOBALS['phpgw_info']['apps']['expressoAdmin1_2']['title'].' - '.lang('Create Sector');
173                        $GLOBALS['phpgw']->common->phpgw_header();
174                       
175                        // Set o template
176                        $p = CreateObject('phpgwapi.Template',PHPGW_APP_TPL);
177                        $p->set_file(Array('create_sector' => 'sectors_form.tpl'));
178                        $p->set_block('create_sector','list','list');
179
180                        // Seta variaveis utilizadas pelo tpl.
181                        $var = Array(
182                                'action'                        => $GLOBALS['phpgw']->link('/index.php','menuaction=expressoAdmin1_2.uisectors.validate_data_sectors_add'),
183                                'back_url'                      => $GLOBALS['phpgw']->link('/index.php','menuaction=expressoAdmin1_2.uisectors.list_sectors'),
184                                'th_bg'                         => $GLOBALS['phpgw_info']['theme']['th_bg'],
185                                'context'                       => $context == '' ? $GLOBALS['phpgw_info']['server']['ldap_context'] : $context,
186                                'sector'                        => $_POST['sector'],
187                                'disk_quota'        => $_POST['disk_quota'],
188                                'users_quota'       => $_POST['users_quota'],
189                                'manager_org'           => $combo_manager_org,
190                                'sector_visible_checked'=> $_POST['sector_visible'] ? 'checked' : '',
191                                'error_messages'        => $_POST['error_messages'] == '' ? '' : "<script type='text/javascript'>alert('".$_POST['error_messages']."')</script>",
192                        );
193                       
194                        if($this->functions->db_functions->use_cota_control()) {
195                                $var["open_comment_cotas"] = "";
196                                $var["close_comment_cotas"] ="";
197                        }
198                        else {
199                                $var["open_comment_cotas"] = "<!--";
200                                $var["close_comment_cotas"] ="-->";
201                        }       
202                       
203                        $p->set_var($var);
204                        $p->set_var($this->functions->make_dinamic_lang($p, 'list'));
205
206                        $p->pfp('out','create_sector');
207                }
208               
209                function edit_sector()
210                {
211                        $account_lid = $GLOBALS['phpgw']->accounts->data['account_lid'];
212                        $acl = $this->functions->read_acl($account_lid);
213                        $manager_context = $acl[0]['context'];
214                       
215                        $context = $_GET['context'];
216
217                        $combo_manager_org = $this->functions->get_organizations($_GET['context'], '', true, true, true);
218                        $combo_manager_org = substr( $combo_manager_org, 0, ( strpos($combo_manager_org, '</option>') + 9 ) );
219
220                        $a_tmp = explode(",", ldap_dn2ufn($context));
221                        $sector_name = $a_tmp[0];
222                       
223                        // Verifica se tem acesso a este modulo
224                        if (!$this->functions->check_acl($account_lid,'edit_sectors'))
225                        {
226                                $GLOBALS['phpgw']->redirect($GLOBALS['phpgw']->link('/expressoAdmin1_2/inc/access_denied.php'));
227                        }
228
229                        unset($GLOBALS['phpgw_info']['flags']['noheader']);
230                        unset($GLOBALS['phpgw_info']['flags']['nonavbar']);
231                        $GLOBALS['phpgw_info']['flags']['app_header'] = $GLOBALS['phpgw_info']['apps']['expressoAdmin1_2']['title'].' - '.lang('Edit Sector');
232                        $GLOBALS['phpgw']->common->phpgw_header();
233                       
234                        // Set o template
235                        $p = CreateObject('phpgwapi.Template',PHPGW_APP_TPL);
236                        $p->set_file(Array('edit_sector' => 'sectors_form.tpl'));
237                        $p->set_block('edit_sector','list','list');
238                       
239                        if (!$_POST)
240                        {
241                                $sector_info = $this->so->get_info($context);
242                                $sector_disk_quota = $sector_info[0]['diskquota'][0];
243                                $sector_users_quota = $sector_info[0]['usersquota'][0];
244                                $_POST['sector_visible'] = $sector_info[0]['phpgwaccountvisible'][0];
245                        }
246                       
247                        // Seta variaveis utilizadas pelo tpl.
248                        $var = Array(
249                                'action'                        => $GLOBALS['phpgw']->link('/index.php','menuaction=expressoAdmin1_2.bosectors.save_sector'),
250                                'back_url'                      => $GLOBALS['phpgw']->link('/index.php','menuaction=expressoAdmin1_2.uisectors.list_sectors'),
251                                'th_bg'                         => $GLOBALS['phpgw_info']['theme']['th_bg'],
252                                'context'                       => $context == '' ? $manager_context : $context,
253                                'sector'                        => $_POST['sector'] == '' ? $sector_name : $_POST['sector'],
254                                'manager_org'           => $combo_manager_org,
255                                'sector_visible_checked'=> $_POST['sector_visible'] ? 'checked' : '',
256                                'disk_quota'        => $_POST['disk_quota'] == '' ? $sector_disk_quota : $_POST['disk_quota'],
257                                'users_quota'       => $_POST['users_quota'] == '' ? $sector_users_quota : $_POST['users_quota'],
258                               
259                                'lang_add'                      => lang('Add'),
260                                'disable'                       => 'disabled',
261                                'error_messages'        => $_POST['error_messages'] == '' ? '' : "<script type='text/javascript'>alert('".$_POST['error_messages']."')</script>",
262                                'lang_disk_quota'   => lang('disk quota'),
263                                'lang_users_quota'  => lang('users quota')
264                        );
265                        if($this->functions->db_functions->use_cota_control()) {
266                                $var["open_comment_cotas"] = "";
267                                $var["close_comment_cotas"] ="";
268                        }
269                        else {
270                                $var["open_comment_cotas"] = "<!--";
271                                $var["close_comment_cotas"] ="-->";
272                        }
273                        $p->set_var($var);
274                        $p->set_var($this->functions->make_dinamic_lang($p, 'list'));
275                       
276                        $p->pfp('out','edit_sector');
277                }
278               
279                function view_cota()
280                {
281                        $context = $_GET['context'];
282                        $a_tmp = explode(",", ldap_dn2ufn($context));
283
284                        $sector_name = $a_tmp[0];
285                        if($this->functions->db_functions->use_cota_control()) {
286                                $sector_info = $this->so->get_info($context);
287                                $sector_disk_cota = $sector_info[0]['diskquota'][0];
288                                $sector_users_cota = $sector_info[0]['usersquota'][0];
289                        }
290                        else {
291                                $sector_disk_cota = lang('cotas control disabled');
292                                $sector_users_cota = lang('cotas control disabled');                           
293                        }
294
295
296                        unset($GLOBALS['phpgw_info']['flags']['noheader']);
297                        unset($GLOBALS['phpgw_info']['flags']['nonavbar']);
298                        $GLOBALS['phpgw_info']['flags']['app_header'] = $GLOBALS['phpgw_info']['apps']['expressoAdmin1_2']['title'].' - '.lang('Edit Sector');
299                        $GLOBALS['phpgw']->common->phpgw_header();
300                       
301                        // Set o template
302                        $p = CreateObject('phpgwapi.Template',PHPGW_APP_TPL);
303                        $p->set_file(Array('ver_cota' => 'sectors_cota.tpl'));
304                       
305               
306                        // Seta variaveis utilizadas pelo tpl.
307                        $var = Array(
308                                'back_url'                      => $GLOBALS['phpgw']->link('/index.php','menuaction=expressoAdmin1_2.uisectors.list_sectors'),
309                                'th_bg'                         => $GLOBALS['phpgw_info']['theme']['th_bg'],
310                                'context'                       => $context,
311                                'sector'                        => $sector_name,
312                                'disk_cota'        => $sector_disk_cota,
313                                'users_cota'       => $sector_users_cota,
314                                'actual_users'          => $this->functions->get_num_users($context),
315                                'actual_disk'           => round($this->functions->get_actual_disk_usage($context),2),                         
316                               
317                                'lang_back'                     => lang('Back'),
318                                'lang_context'          => lang('Context'),
319                                'lang_sector_name'      => lang('Sector name'),
320                                'lang_disk_cota'   => lang('disk usage cota'),
321                                'lang_users_cota'  => lang('user number cota'),
322                                'lang_user_number'  => lang('user number'),
323                                'lang_disk_used'    => lang('disk usage'),                             
324                                'error_messages'        => $_POST['error_messages'] == '' ? '' : "<script type='text/javascript'>alert('".$_POST['error_messages']."')</script>",
325                        );
326                        $p->set_var($var);
327
328                        $p->pfp('out','ver_cota');
329                }                       
330               
331                function validate_data_sectors_add()
332                {
333                        $sector_name    = $_POST['sector'];
334                        $context                = $_POST['context'];
335                       
336                        // Verifica se o nome do sector nao esta vazio.
337                        if ($sector_name == '')
338                        {
339                                $_POST['error_messages'] = lang('Sector name is empty.');
340                                ExecMethod('expressoAdmin1_2.uisectors.add_sector');
341                                return;
342                        }
343                       
344                        // Verifica se o nome do setor existe no contexto atual.
345                        if ($this->so->exist_sector_name($sector_name, $context))
346                        {
347                                $_POST['error_messages'] = lang('Sector name already exist.');
348                                ExecMethod('expressoAdmin1_2.uisectors.add_sector');
349                                return;
350                        }
351                       
352                        ExecMethod('expressoAdmin1_2.bosectors.create_sector');
353                }
354
355                function delete_sector()
356                {
357                        $account_lid = $GLOBALS['phpgw']->accounts->data['account_lid'];
358                        $acl = $this->functions->read_acl($account_lid);
359                        $manager_context = $acl[0]['context'];
360                       
361                        // Verifica se tem acesso a este modulo
362                        if (!$this->functions->check_acl($account_lid,'delete_sectors'))
363                        {
364                                $GLOBALS['phpgw']->redirect($GLOBALS['phpgw']->link('/expressoAdmin1_2/inc/access_denied.php'));
365                        }
366                       
367                        unset($GLOBALS['phpgw_info']['flags']['noheader']);
368                        unset($GLOBALS['phpgw_info']['flags']['nonavbar']);
369                        $GLOBALS['phpgw_info']['flags']['app_header'] = $GLOBALS['phpgw_info']['apps']['expressoAdmin1_2']['title'].' - '.lang('Delete Sectors');
370                        $GLOBALS['phpgw']->common->phpgw_header();
371
372                        // Set o template
373                        $p = CreateObject('phpgwapi.Template',PHPGW_APP_TPL);
374                        $p->set_file(Array('delete_sector' => 'sectors_delete.tpl'));
375                        $p->set_block('delete_sector','list','list');
376                       
377                        $tmp_sector_name = $_GET['context'];
378                        $tmp_sector_name = explode(",",$tmp_sector_name);
379                        $tmp_sector_name = $tmp_sector_name[0];
380                        $tmp_sector_name = explode("=", $tmp_sector_name);
381                        $sector_name = $tmp_sector_name[1];
382                       
383                        // Get users of sector
384                        $sector_users           = $this->so->get_sector_users($_GET['context']);
385                        $sector_groups          = $this->so->get_sector_groups($_GET['context']);
386                        $sector_subsectors      = $this->so->get_sector_subsectors($_GET['context']);
387                       
388                        $users_list = '';
389                        foreach ($sector_users as $user)
390                        {
391                                $users_list .= $user['cn'][0] . '<br>';
392                        }
393                       
394                        $groups_list = '';
395                        foreach ($sector_groups as $group)
396                        {
397                                $groups_list .= $group['cn'][0] . '<br>';       
398                        }
399
400                        $subsectors_list = '';
401                        foreach ($sector_subsectors as $subsector)
402                        {
403                                if ($subsector['dn'] != $_GET['context'])
404                                        $subsectors_list .= $subsector['ou'][0] . '<br>';
405                        }
406
407                        // Seta variaveis utilizadas pelo tpl.
408                        $var = Array(
409                                'color_bg1'                                     => "#E8F0F0",
410                                'manager_context'                       => $manager_context,
411                                'dn'                                            => $_GET['context'],
412                                'back_url'                                      => $GLOBALS['phpgw']->link('/index.php','menuaction=expressoAdmin1_2.uisectors.list_sectors'),
413                                'action'                                        => $GLOBALS['phpgw']->link('/index.php','menuaction=expressoAdmin1_2.bosectors.delete_sector'),
414                               
415                                'sector_name'                           => $sector_name,
416                                'users_list'                            => $users_list,
417                                'groups_list'                           => $groups_list,
418                                'sectors_list'                          => $subsectors_list
419                        );
420                        $p->set_var($var);
421                        $p->set_var($this->functions->make_dinamic_lang($p, 'list'));
422                        $p->pfp('out','delete_sector');                 
423                }
424               
425                function row_action($action,$type,$context,$class='uisectors')
426                {
427                        return '<a href="'.$GLOBALS['phpgw']->link('/index.php',Array(
428                                'menuaction'            => 'expressoAdmin1_2.'.$class.'.'.$action.'_'.$type,
429                                'context'               => $context
430                        )).'"> '.lang($action).' </a>';
431                }
432               
433                function css()
434                {
435                        $appCSS = '';
436                        return $appCSS;
437                }
438               
439        }
440?>
Note: See TracBrowser for help on using the repository browser.