Dotclear

source: admin/users.php @ 3649:3b0b868d58b0

Revision 3649:3b0b868d58b0, 5.0 KB checked in by franck <carnet.franck.paul@…>, 5 years ago (diff)

Fix potential XSS - thank's Trí Chim Trích for report

Line 
1<?php
2# -- BEGIN LICENSE BLOCK ---------------------------------------
3#
4# This file is part of Dotclear 2.
5#
6# Copyright (c) 2003-2013 Olivier Meunier & Association Dotclear
7# Licensed under the GPL version 2.0 license.
8# See LICENSE file or
9# http://www.gnu.org/licenses/old-licenses/gpl-2.0.html
10#
11# -- END LICENSE BLOCK -----------------------------------------
12
13require dirname(__FILE__).'/../inc/admin/prepend.php';
14
15dcPage::checkSuper();
16
17# Creating filter combo boxes
18$sortby_combo = array(
19__('Username') => 'user_id',
20__('Last Name') => 'user_name',
21__('First Name') => 'user_firstname',
22__('Display name') => 'user_displayname',
23__('Number of entries') => 'nb_post'
24);
25
26$sortby_lex = array(
27     // key in sorty_combo (see above) => field in SQL request
28     'user_id' => 'U.user_id',
29     'user_name' => 'user_name',
30     'user_firstname' => 'user_firstname',
31     'user_displayname' => 'user_displayname');
32
33$order_combo = array(
34__('Descending') => 'desc',
35__('Ascending') => 'asc'
36);
37
38# Actions combo box
39$combo_action = array(
40     __('Set permissions') => 'blogs',
41     __('Delete') => 'deleteuser'
42);
43
44# --BEHAVIOR-- adminUsersActionsCombo
45$core->callBehavior('adminUsersActionsCombo',array(&$combo_action));
46
47$show_filters = false;
48
49#?Get users
50$page = !empty($_GET['page']) ? max(1,(integer) $_GET['page']) : 1;
51$nb_per_page =  30;
52
53if (!empty($_GET['nb']) && (integer) $_GET['nb'] > 0) {
54     if ($nb_per_page !=  (integer) $_GET['nb']) {
55          $show_filters = true;
56     }
57     $nb_per_page =  (integer) $_GET['nb'];
58}
59
60$q = !empty($_GET['q']) ? $_GET['q'] : '';
61$sortby = !empty($_GET['sortby']) ?     $_GET['sortby'] : 'user_id';
62$order = !empty($_GET['order']) ? $_GET['order'] : 'asc';
63
64$params['limit'] = array((($page-1)*$nb_per_page),$nb_per_page);
65
66
67# - Search filter
68if ($q) {
69     $params['q'] = $q;
70     $show_filters = true;
71}
72
73# - Sortby and order filter
74if ($sortby !== '' && in_array($sortby,$sortby_combo,true)) {
75     if (array_key_exists($sortby,$sortby_lex)) {
76          $params['order'] = $core->con->lexFields($sortby_lex[$sortby]);
77     } else {
78          $params['order'] = $sortby;
79     }
80     if ($order !== '' && in_array($order,$order_combo,true)) {
81          $params['order'] .= ' '.$order;
82     } else {
83          $order='asc';
84     }
85} else {
86     $sortby = 'user_id';
87     $order = 'asc';
88}
89if ($sortby != 'user_id' || $order != 'asc') {
90     $show_filters = true;
91}
92
93# Get users
94try {
95     $rs = $core->getUsers($params);
96     $counter = $core->getUsers($params,1);
97     $rsStatic = $rs->toStatic();
98     if ($sortby != 'nb_post') {
99          // Sort user list using lexical order if necessary
100          $rsStatic->extend('rsExtUser');
101          $rsStatic = $rsStatic->toExtStatic();
102          $rsStatic->lexicalSort($sortby,$order);
103     }
104     $user_list = new adminUserList($core,$rsStatic,$counter->f(0));
105} catch (Exception $e) {
106     $core->error->add($e->getMessage());
107}
108
109
110/* DISPLAY
111-------------------------------------------------------- */
112
113dcPage::open(__('Users'),
114     dcPage::jsLoad('js/_users.js').dcPage::jsFilterControl($show_filters),
115     dcPage::breadcrumb(
116          array(
117               __('System') => '',
118               __('Users') => ''
119          ))
120);
121
122if (!$core->error->flag())
123{
124     if (!empty($_GET['del'])) {
125          dcPage::message(__('User has been successfully removed.'));
126     }
127     if (!empty($_GET['upd'])) {
128          dcPage::message(__('The permissions have been successfully updated.'));
129     }
130
131     echo
132     '<p class="top-add"><strong><a class="button add" href="'.$core->adminurl->get("admin.user").'">'.__('New user').'</a></strong></p>'.
133     '<form action="'.$core->adminurl->get("admin.users").'" method="get" id="filters-form">'.
134     '<h3 class="out-of-screen-if-js">'.__('Show filters and display options').'</h3>'.
135
136     '<div class="table">'.
137     '<div class="cell">'.
138     '<h4>'.__('Filters').'</h4>'.
139     '<p><label for="q" class="ib">'.__('Search:').'</label> '.
140     form::field('q',20,255,html::escapeHTML($q)).'</p>'.
141     '</div>'.
142
143     '<div class="cell filters-options">'.
144     '<h4>'.__('Display options').'</h4>'.
145     '<p><label for="sortby" class="ib">'.__('Order by:').'</label> '.
146     form::combo('sortby',$sortby_combo,$sortby).'</p> '.
147     '<p><label for="order" class="ib">'.__('Sort:').'</label> '.
148     form::combo('order',$order_combo,$order).'</p>'.
149     '<p><span class="label ib">'.__('Show').'</span> <label for="nb" class="classic">'.
150     form::field('nb',3,3,$nb_per_page).' '.__('users per page').'</label></p> '.
151     '</div>'.
152     '</div>'.
153
154     '<p><input type="submit" value="'.__('Apply filters and display options').'" />'.
155     '<br class="clear" /></p>'. //Opera sucks
156     '</form>';
157
158     # Show users
159     $user_list->display($page,$nb_per_page,
160     '<form action="'.$core->adminurl->get("admin.user.actions").'" method="post" id="form-users">'.
161
162     '%s'.
163
164     '<div class="two-cols">'.
165     '<p class="col checkboxes-helpers"></p>'.
166
167     '<p class="col right"><label for="action" class="classic">'.
168     __('Selected users action:').' '.
169     form::combo('action',$combo_action).
170     '</label> '.
171     '<input id="do-action" type="submit" value="'.__('ok').'" />'.
172     form::hidden(array('q'),html::escapeHTML($q)).
173     form::hidden(array('sortby'),$sortby).
174     form::hidden(array('order'),$order).
175     form::hidden(array('page'),$page).
176     form::hidden(array('nb'),$nb_per_page).
177     $core->formNonce().
178     '</p>'.
179     '</div>'.
180     '</form>',
181     $show_filters
182     );
183}
184dcPage::helpBlock('core_users');
185dcPage::close();
Note: See TracBrowser for help on using the repository browser.

Sites map