OSDN Git Service

Security fix to avoid deletion of item by non-admin acount.
[nucleus-jp/nucleus-jp-ancient.git] / utf8 / nucleus / libs / ITEM.php
1 <?php\r
2 \r
3 /*\r
4  * Nucleus: PHP/MySQL Weblog CMS (http://nucleuscms.org/)\r
5  * Copyright (C) 2002-2007 The Nucleus Group\r
6  *\r
7  * This program is free software; you can redistribute it and/or\r
8  * modify it under the terms of the GNU General Public License\r
9  * as published by the Free Software Foundation; either version 2\r
10  * of the License, or (at your option) any later version.\r
11  * (see nucleus/documentation/index.html#license for more info)\r
12  */\r
13 /**\r
14  * A class representing an item\r
15  *\r
16  * @license http://nucleuscms.org/license.txt GNU General Public License\r
17  * @copyright Copyright (C) 2002-2007 The Nucleus Group\r
18  * @version $Id: ITEM.php,v 1.8 2008-02-08 09:31:22 kimitake Exp $\r
19  * $NucleusJP: ITEM.php,v 1.7.2.3 2008/02/07 06:13:30 kimitake Exp $\r
20  */\r
21 class ITEM {\r
22 \r
23         var $itemid;\r
24 \r
25         function ITEM($itemid) {\r
26                 $this->itemid = $itemid;\r
27         }\r
28 \r
29         /**\r
30           * Returns one item with the specific itemid\r
31           * (static)\r
32           */\r
33         function getitem($itemid, $allowdraft, $allowfuture) {\r
34                 global $manager;\r
35 \r
36                 $itemid = intval($itemid);\r
37 \r
38                 $query =  'SELECT i.idraft as draft, i.inumber as itemid, i.iclosed as closed, '\r
39                            . ' i.ititle as title, i.ibody as body, m.mname as author, '\r
40                            . ' i.iauthor as authorid, i.itime, i.imore as more, i.ikarmapos as karmapos, '\r
41                            . ' i.ikarmaneg as karmaneg, i.icat as catid, i.iblog as blogid '\r
42                            . ' FROM '.sql_table('item').' as i, '.sql_table('member').' as m, ' . sql_table('blog') . ' as b '\r
43                            . ' WHERE i.inumber=' . $itemid\r
44                            . ' and i.iauthor=m.mnumber '\r
45                            . ' and i.iblog=b.bnumber';\r
46 \r
47                 if (!$allowdraft)\r
48                         $query .= ' and i.idraft=0';\r
49 \r
50                 if (!$allowfuture) {\r
51                         $blog =& $manager->getBlog(getBlogIDFromItemID($itemid));\r
52                         $query .= ' and i.itime <=' . mysqldate($blog->getCorrectTime());\r
53                 }\r
54 \r
55                 $query .= ' LIMIT 1';\r
56 \r
57                 $res = sql_query($query);\r
58 \r
59                 if (mysql_num_rows($res) == 1)\r
60                 {\r
61                         $aItemInfo = mysql_fetch_assoc($res);\r
62                         $aItemInfo['timestamp'] = strtotime($aItemInfo['itime']);\r
63                         return $aItemInfo;\r
64                 } else {\r
65                         return 0;\r
66                 }\r
67 \r
68         }\r
69 \r
70         /**\r
71          * Tries to create an item from the data in the current request (comes from\r
72          * bookmarklet or admin area\r
73          *\r
74          * Returns an array with status info (status = 'added', 'error', 'newcategory')\r
75          *\r
76          * (static)\r
77          */\r
78         function createFromRequest() {\r
79                  global $member, $manager;\r
80 \r
81                  $i_author =            $member->getID();\r
82                  $i_body =                      postVar('body');\r
83                  $i_title =                     postVar('title');\r
84                  $i_more =                      postVar('more');\r
85                  $i_actiontype =        postVar('actiontype');\r
86                  $i_closed =            intPostVar('closed');\r
87                  $i_hour =                      intPostVar('hour');\r
88                  $i_minutes =           intPostVar('minutes');\r
89                  $i_month =             intPostVar('month');\r
90                  $i_day =                       intPostVar('day');\r
91                  $i_year =                      intPostVar('year');\r
92 \r
93                  $i_catid =             postVar('catid');\r
94 \r
95                  $i_draftid =           intPostVar('draftid');\r
96 \r
97                  if (!$member->canAddItem($i_catid))\r
98                         return array('status' => 'error', 'message' => _ERROR_DISALLOWED);\r
99 \r
100                  if (!$i_actiontype) $i_actiontype = 'addnow';\r
101 \r
102                  switch ($i_actiontype) {\r
103                         case 'adddraft':\r
104                                 $i_draft = 1;\r
105                                 break;\r
106                         case 'addfuture':\r
107                         case 'addnow':\r
108                         default:\r
109                                 $i_draft = 0;\r
110                  }\r
111 \r
112                  if (!trim($i_body))\r
113                         return array('status' => 'error', 'message' => _ERROR_NOEMPTYITEMS);\r
114 \r
115                 // create new category if needed\r
116                 if (strstr($i_catid,'newcat')) {\r
117                         // get blogid\r
118                         list($i_blogid) = sscanf($i_catid,"newcat-%d");\r
119 \r
120                         // create\r
121                         $blog =& $manager->getBlog($i_blogid);\r
122                         $i_catid = $blog->createNewCategory();\r
123 \r
124                         // show error when sth goes wrong\r
125                         if (!$i_catid)\r
126                                 return array('status' => 'error','message' => 'Could not create new category');\r
127                 } else {\r
128                         // force blogid (must be same as category id)\r
129                         $i_blogid = getBlogIDFromCatID($i_catid);\r
130                         $blog =& $manager->getBlog($i_blogid);\r
131                 }\r
132 \r
133                 if ($i_actiontype == 'addfuture') {\r
134                         $posttime = mktime($i_hour, $i_minutes, 0, $i_month, $i_day, $i_year);\r
135 \r
136                         // make sure the date is in the future, unless we allow past dates\r
137                         if ((!$blog->allowPastPosting()) && ($posttime < $blog->getCorrectTime()))\r
138                                 $posttime = $blog->getCorrectTime();\r
139                 } else {\r
140                         // time with offset, or 0 for drafts\r
141                         $posttime = $i_draft ? 0 : $blog->getCorrectTime();\r
142                 }\r
143 \r
144                 if ($posttime > $blog->getCorrectTime()) {\r
145                         $posted = 0;\r
146                         $blog->setFuturePost();\r
147                 }\r
148                 else {\r
149                         $posted = 1;\r
150                 }\r
151 \r
152                 $itemid = $blog->additem($i_catid, $i_title,$i_body,$i_more,$i_blogid,$i_author,$posttime,$i_closed,$i_draft,$posted);\r
153 \r
154                 //Setting the itemOptions\r
155                 $aOptions = requestArray('plugoption');\r
156                 NucleusPlugin::_applyPluginOptions($aOptions, $itemid);\r
157                 $manager->notify('PostPluginOptionsUpdate',array('context' => 'item', 'itemid' => $itemid, 'item' => array('title' => $i_title, 'body' => $i_body, 'more' => $i_more, 'closed' => $i_closed, 'catid' => $i_catid)));\r
158 \r
159                 if ($i_draftid > 0 && $member->canAlterItem($i_draftid) ) {\r
160                         ITEM::delete($i_draftid);\r
161                 }\r
162 \r
163                 // success\r
164                 if ($i_catid != intRequestVar('catid'))\r
165                         return array('status' => 'newcategory', 'itemid' => $itemid, 'catid' => $i_catid);\r
166                 else\r
167                         return array('status' => 'added', 'itemid' => $itemid);\r
168         }\r
169 \r
170 \r
171         /**\r
172           * Updates an item (static)\r
173           */\r
174         function update($itemid, $catid, $title, $body, $more, $closed, $wasdraft, $publish, $timestamp = 0) {\r
175                 global $manager;\r
176 \r
177                 $itemid = intval($itemid);\r
178 \r
179                 // make sure value is 1 or 0\r
180                 if ($closed != 1) $closed = 0;\r
181 \r
182                 // get destination blogid\r
183                 $new_blogid = getBlogIDFromCatID($catid);\r
184                 $old_blogid = getBlogIDFromItemID($itemid);\r
185 \r
186                 // move will be done on end of method\r
187                 if ($new_blogid != $old_blogid)\r
188                         $moveNeeded = 1;\r
189 \r
190                 // add <br /> before newlines\r
191                 $blog =& $manager->getBlog($new_blogid);\r
192                 if ($blog->convertBreaks()) {\r
193                         $body = addBreaks($body);\r
194                         $more = addBreaks($more);\r
195                 }\r
196 \r
197                 // call plugins\r
198                 $manager->notify('PreUpdateItem',array('itemid' => $itemid, 'title' => &$title, 'body' => &$body, 'more' => &$more, 'blog' => &$blog, 'closed' => &$closed, 'catid' => &$catid));\r
199 \r
200                 // update item itsself\r
201                 $query =  'UPDATE '.sql_table('item')\r
202                            . ' SET'\r
203                            . " ibody='". addslashes($body) ."',"\r
204                            . " ititle='" . addslashes($title) . "',"\r
205                            . " imore='" . addslashes($more) . "',"\r
206                            . " iclosed=" . intval($closed) . ","\r
207                            . " icat=" . intval($catid);\r
208 \r
209                 // if we received an updated timestamp in the past, but past posting is not allowed,\r
210                 // reject that date change (timestamp = 0 will make sure the current date is kept)\r
211                 if ( (!$blog->allowPastPosting()) && ($timestamp < $blog->getCorrectTime()))\r
212                                 $timestamp = 0;\r
213 \r
214                 if ($timestamp > $blog->getCorrectTime(time())) {\r
215                         $isFuture = 1;\r
216                         $query .= ', iposted=0';\r
217                 }\r
218                 else {\r
219                         $isFuture = 0;\r
220                         $query .= ', iposted=1';\r
221                 }\r
222 \r
223                 if ($wasdraft && $publish) {\r
224                         // set timestamp to current date only if it's not a future item\r
225                         // draft items have timestamp == 0\r
226                         // don't allow timestamps in the past (unless otherwise defined in blogsettings)\r
227                         $query .= ', idraft=0';\r
228 \r
229                         if ($timestamp == 0)\r
230                                 $timestamp = $blog->getCorrectTime();\r
231 \r
232                         // send new item notification\r
233                         if (!$isFuture && $blog->getNotifyAddress() && $blog->notifyOnNewItem())\r
234                                 $blog->sendNewItemNotification($itemid, $title, $body);\r
235                 }\r
236 \r
237                 // update timestamp when needed\r
238                 if ($timestamp != 0)\r
239                         $query .= ", itime=" . mysqldate($timestamp);\r
240 \r
241                 // make sure the correct item is updated\r
242                 $query .= ' WHERE inumber=' . $itemid;\r
243 \r
244                 // off we go!\r
245                 sql_query($query);\r
246 \r
247                 $manager->notify('PostUpdateItem',array('itemid' => $itemid));\r
248 \r
249                 // when needed, move item and comments to new blog\r
250                 if ($moveNeeded)\r
251                         ITEM::move($itemid, $catid);\r
252 \r
253                 //update the itemOptions\r
254                 $aOptions = requestArray('plugoption');\r
255                 NucleusPlugin::_applyPluginOptions($aOptions);\r
256                 $manager->notify('PostPluginOptionsUpdate',array('context' => 'item', 'itemid' => $itemid, 'item' => array('title' => $title, 'body' => $body, 'more' => $more, 'closed' => $closed, 'catid' => $catid)));\r
257 \r
258         }\r
259 \r
260         // move an item to another blog (no checks, static)\r
261         function move($itemid, $new_catid) {\r
262                 global $manager;\r
263 \r
264                 $itemid = intval($itemid);\r
265                 $new_catid = intval($new_catid);\r
266 \r
267                 $new_blogid = getBlogIDFromCatID($new_catid);\r
268 \r
269                 $manager->notify(\r
270                         'PreMoveItem',\r
271                         array(\r
272                                 'itemid' => $itemid,\r
273                                 'destblogid' => $new_blogid,\r
274                                 'destcatid' => $new_catid\r
275                         )\r
276                 );\r
277 \r
278 \r
279                 // update item table\r
280                 $query = 'UPDATE '.sql_table('item')." SET iblog=$new_blogid, icat=$new_catid WHERE inumber=$itemid";\r
281                 sql_query($query);\r
282 \r
283                 // update comments\r
284                 $query = 'UPDATE '.sql_table('comment')." SET cblog=" . $new_blogid." WHERE citem=" . $itemid;\r
285                 sql_query($query);\r
286 \r
287                 $manager->notify(\r
288                         'PostMoveItem',\r
289                         array(\r
290                                 'itemid' => $itemid,\r
291                                 'destblogid' => $new_blogid,\r
292                                 'destcatid' => $new_catid\r
293                         )\r
294                 );\r
295         }\r
296 \r
297         /**\r
298           * Deletes an item\r
299           */\r
300         function delete($itemid) {\r
301                 global $manager, $member;\r
302 \r
303                 $itemid = intval($itemid);\r
304                 if (!$member->canAlterItem($itemid)) return;\r
305 \r
306                 $manager->notify('PreDeleteItem', array('itemid' => $itemid));\r
307 \r
308                 // delete item\r
309                 $query = 'DELETE FROM '.sql_table('item').' WHERE inumber=' . $itemid;\r
310                 sql_query($query);\r
311 \r
312                 // delete the comments associated with the item\r
313                 $query = 'DELETE FROM '.sql_table('comment').' WHERE citem=' . $itemid;\r
314                 sql_query($query);\r
315 \r
316                 // delete all associated plugin options\r
317                 NucleusPlugin::_deleteOptionValues('item', $itemid);\r
318 \r
319                 $manager->notify('PostDeleteItem', array('itemid' => $itemid));\r
320         }\r
321 \r
322         // returns true if there is an item with the given ID (static)\r
323         function exists($id,$future,$draft) {\r
324                 global $manager;\r
325 \r
326                 $id = intval($id);\r
327 \r
328                 $r = 'select * FROM '.sql_table('item').' WHERE inumber='.$id;\r
329                 if (!$future) {\r
330                         $bid = getBlogIDFromItemID($id);\r
331                         if (!$bid) return 0;\r
332                         $b =& $manager->getBlog($bid);\r
333                         $r .= ' and itime<='.mysqldate($b->getCorrectTime());\r
334                 }\r
335                 if (!$draft) {\r
336                         $r .= ' and idraft=0';\r
337                 }\r
338                 $r = sql_query($r);\r
339 \r
340                 return (mysql_num_rows($r) != 0);\r
341         }\r
342 \r
343         /**\r
344          * Tries to create an draft from the data in the current request (comes from\r
345          * bookmarklet or admin area\r
346          *\r
347          * Returns an array with status info (status = 'added', 'error', 'newcategory')\r
348          *\r
349          * (static)\r
350          *\r
351          * Used by xmlHTTPRequest AutoDraft\r
352          */\r
353         function createDraftFromRequest() {\r
354                 global $member, $manager;\r
355 \r
356                 $i_author = $member->getID();\r
357                 $i_body = postVar('body');\r
358                 $i_title = postVar('title');\r
359                 $i_more = postVar('more');\r
360 \r
361                 if(_CHARSET != 'UTF-8'){\r
362                         $i_body = mb_convert_encoding($i_body, _CHARSET, "UTF-8");\r
363                         $i_title = mb_convert_encoding($i_title, _CHARSET, "UTF-8");\r
364                         $i_more = mb_convert_encoding($i_more, _CHARSET, "UTF-8");\r
365                 }\r
366                 //$i_actiontype = postVar('actiontype');\r
367                 $i_closed = intPostVar('closed');\r
368                 //$i_hour = intPostVar('hour');\r
369                 //$i_minutes = intPostVar('minutes');\r
370                 //$i_month = intPostVar('month');\r
371                 //$i_day = intPostVar('day');\r
372                 //$i_year = intPostVar('year');\r
373                 $i_catid = postVar('catid');\r
374                 $i_draft = 1;\r
375                 $type = postVar('type');\r
376                 if ($type == 'edit') {\r
377                         $i_blogid = getBlogIDFromItemID(intPostVar('itemid'));\r
378                 }\r
379                 else {\r
380                         $i_blogid = intPostVar('blogid');\r
381                 }\r
382                 $i_draftid = intPostVar('draftid');\r
383 \r
384                 if (!$member->canAddItem($i_catid)) {\r
385                         return array('status' => 'error', 'message' => _ERROR_DISALLOWED);\r
386                 }\r
387 \r
388                 if (!trim($i_body)) {\r
389                         return array('status' => 'error', 'message' => _ERROR_NOEMPTYITEMS);\r
390                 }\r
391 \r
392                 // create new category if needed\r
393                 if (strstr($i_catid, 'newcat')) {\r
394                         // Set in default category\r
395                         $blog =& $manager->getBlog($i_blogid);\r
396                         $i_catid = $blog->getDefaultCategory();\r
397                 }\r
398                 else {\r
399                         // force blogid (must be same as category id)\r
400                         $i_blogid = getBlogIDFromCatID($i_catid);\r
401                         $blog =& $manager->getBlog($i_blogid);\r
402                 }\r
403 \r
404                 $posttime = 0;\r
405 \r
406                 if ($i_draftid > 0) {\r
407                         ITEM::update($i_draftid, $i_catid, $i_title, $i_body, $i_more, $i_closed, 1, 0, 0);\r
408                         $itemid = $i_draftid;\r
409                 }\r
410                 else {\r
411                         $itemid = $blog->additem($i_catid, $i_title, $i_body, $i_more, $i_blogid, $i_author, $posttime, $i_closed, $i_draft);\r
412                 }\r
413 \r
414                 // No plugin support in AutoSaveDraft yet\r
415                 //Setting the itemOptions\r
416                 //$aOptions = requestArray('plugoption');\r
417                 //NucleusPlugin::_applyPluginOptions($aOptions, $itemid);\r
418                 //$manager->notify('PostPluginOptionsUpdate',array('context' => 'item', 'itemid' => $itemid, 'item' => array('title' => $i_title, 'body' => $i_body, 'more' => $i_more, 'closed' => $i_closed, 'catid' => $i_catid)));\r
419 \r
420                 // success\r
421                 return array('status' => 'added', 'draftid' => $itemid);\r
422         }\r
423 \r
424 }\r
425 \r
426 ?>\r