Changeset 60827 in spip-zone

Timestamp:

Apr 30, 2012, 6:45:44 PM (9 years ago)

Author:

eric@…

Message:

Correction et sécurité dans les autorisations.
Surcharge de la page relecture_edit finalement... hélas.
Correction d'un item de langue.

Location:

_plugins_/relecture

Files:

• prive/squelettes/contenu/relecture.html (modified) (1 diff)
• prive/squelettes/contenu/relecture_edit.html (added)
• prive/squelettes/extra/relecture_edit.html (deleted)
• prive/squelettes/infos/article-voir_relectures.html (modified) (1 diff)
• relecture_autorisations.php (modified) (5 diffs)

_plugins_/relecture/prive/squelettes/contenu/relecture.html

@@ -79 +79 @@
 
         [(#REM) <!-- Textes de l'article a relire et a commenter --> ]
-        <div>
-                <INCLURE{fond=prive/objets/contenu/relecture,
-                        id=#ID_RELECTURE,
-                        id_article=#ID_ARTICLE,
-                        ajax=wysiwyg,
-                        wysiwyg=1} />
-        </div>
         <h5><:relecture:titre_boite_textes_article{revision=#REVISION_OUVERTURE}:></h5>
         <div class="accordion" id="article">

_plugins_/relecture/prive/squelettes/infos/article-voir_relectures.html

@@ -4 +4 @@
         [(#URL_ECRIRE{relecture}
                 |parametre_url{id_relecture, #ID_RELECTURE}
-                |icone_horizontale{<:relecture:bouton_historique_relectures:>,relecture-ok-24.png})]
+                |icone_horizontale{<:relecture:bouton_voir_relectures:>,relecture-ok-24.png})]
 ]
 </BOUCLE_relectures_fermees>

_plugins_/relecture/relecture_autorisations.php

@@ -20 +20 @@
 function autoriser_article_ouvrirrelecture_dist($faire, $type, $id, $qui, $opt) {
 
+        $autoriser = false;
+
         // Conditions :
         // - l'auteur connecte est un des auteurs de l'article
         // - l'article est dans l'état "en cours de rédaction"
         // - l'article n'a pas deja une relecture d'ouverte
+        if ($id_article = intval($id)) {
+                $les_auteurs = lister_objets_lies('auteur', 'article', $id, 'auteurs_liens');
 
-        $les_auteurs = lister_objets_lies('auteur', 'article', $id, 'auteurs_liens');
+                $from = 'spip_articles';
+                $where = array("id_article=$id_article");
+                $statut = sql_getfetsel('statut', $from, $where);
 
-        $from = 'spip_articles';
-        $where = array("id_article=$id");
-        $statut = sql_getfetsel('statut', $from, $where);
+                $from = 'spip_relectures';
+                $where = array("id_article=$id_article", "statut=" . sql_quote('ouverte'));
+                $nb_relecture_ouverte = intval(sql_countsel($from, $where));
 
-        $from = 'spip_relectures';
-        $where = array("id_article=$id", "statut=" . sql_quote('ouverte'));
-        $nb_relecture_ouverte = sql_countsel($from, $where);
+                $autoriser =
+                        (in_array($qui['id_auteur'], $les_auteurs)
+                        AND ($statut=='prepa')
+                        AND ($nb_relecture_ouverte==0));
+        }
 
-        return
-                (in_array($qui['id_auteur'], $les_auteurs)
-                AND ($statut=='prepa')
-                AND ($nb_relecture_ouverte==0));
+        return $autoriser;
 }
 
@@ -55 +60 @@
 function autoriser_article_voirrelectures_dist($faire, $type, $id, $qui, $opt) {
 
+        $autoriser = false;
+
         // Conditions :
         // - pour l'instant tout le monde peut afficher les fiches de relecture clôturées
+        if ($id_article = intval($id)) {
+                $autoriser = true;
+        }
 
-        return true;
+        return $autoriser;
 }
 
@@ -74 +84 @@
 function autoriser_relecture_modifier_dist($faire, $type, $id, $qui, $opt) {
 
+        $autoriser = false;
+
         // Conditions :
         // - la relecture n'est pas fermee
@@ -79 +91 @@
         // - ou un admin complet ou restreint à la rubrique d'appartenance de l'article (besoin de maintenance)
 
-        $from = 'spip_relectures';
-        $where = array("id_relecture=$id");
-        $infos = sql_fetsel('id_article, statut', $from, $where);
+        if ($id_relecture = intval($id)) {
+                $from = 'spip_relectures';
+                $where = array("id_relecture=$id_relecture");
+                $infos = sql_fetsel('id_article, statut', $from, $where);
 
-        $relecture_ouverte = $infos['statut'] == 'ouverte';
+                $relecture_ouverte = ($infos['statut'] == 'ouverte');
 
-        $id_article = $infos['id_article'];
-        $les_auteurs = lister_objets_lies('auteur', 'article', $id_article, 'auteurs_liens');
+                $id_article = $infos['id_article'];
+                $les_auteurs = lister_objets_lies('auteur', 'article', $id_article, 'auteurs_liens');
 
-        $from = 'spip_articles';
-        $where = array("id_article=$id_article");
-        $id_rubrique = sql_getfetsel('id_rubrique', $from, $where);
+                $from = 'spip_articles';
+                $where = array("id_article=$id_article");
+                $id_rubrique = sql_getfetsel('id_rubrique', $from, $where);
 
-        return
-                $relecture_ouverte
-                AND
-                ((in_array($qui['id_auteur'], $les_auteurs)
-                        OR (($qui['statut'] == '0minirezo')
-                                AND (!$qui['restreint'] OR !$id_rubrique OR in_array($id_rubrique, $qui['restreint'])))));
+                $autoriser =
+                        ($relecture_ouverte
+                        AND
+                        ((in_array($qui['id_auteur'], $les_auteurs)
+                                OR (($qui['statut'] == '0minirezo')
+                                        AND (!$qui['restreint'] OR !$id_rubrique OR in_array($id_rubrique, $qui['restreint']))))));
+        }
+
+        return $autoriser;
 }
 
@@ -113 +129 @@
 function autoriser_relecture_commenter_dist($faire, $type, $id, $qui, $opt) {
 
+        $autoriser = false;
+
         // Conditions :
         // - l'auteur connecte est un des auteurs ou des relecteurs de l'article
         // - la periode de relecture ne doit pas etre echue
 
-        $from = 'spip_relectures';
-        $where = array("id_relecture=$id");
-        $infos = sql_fetsel('id_article, date_fin_commentaire', $from, $where);
+        if ($id_relecture = intval($id)) {
+                $from = 'spip_relectures';
+                $where = array("id_relecture=$id");
+                $infos = sql_fetsel('id_article, date_fin_commentaire', $from, $where);
 
-        $les_relecteurs = lister_objets_lies('auteur', 'relecture', $id, 'auteurs_liens');
-        $les_auteurs = lister_objets_lies('auteur', 'article', $infos['id_article'], 'auteurs_liens');
+                $les_relecteurs = lister_objets_lies('auteur', 'relecture', $id, 'auteurs_liens');
+                $les_auteurs = lister_objets_lies('auteur', 'article', $infos['id_article'], 'auteurs_liens');
 
-        return
-                (strtotime($infos['date_fin_commentaire'])>time()
-                AND (in_array($qui['id_auteur'], $les_auteurs)
-                        OR in_array($qui['id_auteur'], $les_relecteurs)));
+                $autoriser =
+                        (strtotime($infos['date_fin_commentaire'])>time()
+                        AND (in_array($qui['id_auteur'], $les_auteurs)
+                                OR in_array($qui['id_auteur'], $les_relecteurs)));
 
+        }
+
+        return $autoriser;
 }