From b96a7f5e7cead862b13373d8f172973a8d91542c Mon Sep 17 00:00:00 2001 From: =?UTF-8?q?Andreas=20=C3=96sterreicher?= Date: Thu, 3 Jul 2014 12:22:37 +0000 Subject: [PATCH] =?UTF-8?q?XSS=20und=20SQL=20Injection=20L=C3=BCcken=20ges?= =?UTF-8?q?chlossen?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- cis/private/lehre/abgabe_lektor.php | 26 ++- cis/private/lehre/abgabe_lektor_details.php | 103 ++++++---- .../lehre/abgabe_lektor_multitermin.php | 81 ++++++-- cis/private/lehre/abgabe_lektor_zusatz.php | 63 ++++-- cis/private/lehre/abgabe_student_details.php | 24 ++- include/js/jquery.tablesorter.js | 3 +- include/tw/abgabe_lektor_benotung.php | 103 +++++----- locale/de-AT/abgabetool.php | 1 + locale/de-AT/dms_link.php | 3 +- vilesci/lehre/abgabe_assistenz.php | 44 ++--- vilesci/lehre/abgabe_assistenz_details.php | 182 ++++++++++-------- .../lehre/abgabe_assistenz_multitermin.php | 57 +++--- vilesci/lehre/abgabe_assistenz_zusatz.php | 97 ++++++---- 13 files changed, 475 insertions(+), 312 deletions(-) diff --git a/cis/private/lehre/abgabe_lektor.php b/cis/private/lehre/abgabe_lektor.php index 4b696cd7a..0e9afd93d 100644 --- a/cis/private/lehre/abgabe_lektor.php +++ b/cis/private/lehre/abgabe_lektor.php @@ -47,7 +47,13 @@ $htmlstr = ""; $showall=isset($_GET['showall']); -$sql_query = "SELECT * FROM (SELECT * FROM lehre.tbl_projektarbeit LEFT JOIN lehre.tbl_projektbetreuer using(projektarbeit_id) +$sql_query = "SELECT + * + FROM + (SELECT tbl_person.vorname, tbl_person.nachname, tbl_studiengang.typ, tbl_studiengang.kurzbz, + tbl_projektarbeit.projekttyp_kurzbz, tbl_projektarbeit.titel, tbl_projektarbeit.projektarbeit_id, + tbl_projektbetreuer.betreuerart_kurzbz, tbl_benutzer.uid, tbl_student.matrikelnr, tbl_lehreinheit.studiensemester_kurzbz + FROM lehre.tbl_projektarbeit LEFT JOIN lehre.tbl_projektbetreuer using(projektarbeit_id) LEFT JOIN public.tbl_benutzer on(uid=student_uid) LEFT JOIN public.tbl_student on(public.tbl_benutzer.uid=public.tbl_student.student_uid) LEFT JOIN public.tbl_person on(tbl_benutzer.person_id=tbl_person.person_id) @@ -57,7 +63,7 @@ $sql_query = "SELECT * FROM (SELECT * FROM lehre.tbl_projektarbeit LEFT JOIN leh WHERE (projekttyp_kurzbz='Bachelor' OR projekttyp_kurzbz='Diplom') AND tbl_projektbetreuer.person_id IN (SELECT person_id FROM public.tbl_benutzer WHERE public.tbl_benutzer.person_id=lehre.tbl_projektbetreuer.person_id - AND public.tbl_benutzer.uid='".addslashes($getuid)."') + AND public.tbl_benutzer.uid=".$db->db_add_param($getuid).") ".($showall?'':' AND public.tbl_benutzer.aktiv AND lehre.tbl_projektarbeit.note IS NULL ')." AND (betreuerart_kurzbz='Betreuer' OR betreuerart_kurzbz='Begutachter' OR betreuerart_kurzbz='Erstbegutachter' OR betreuerart_kurzbz='Zweitbegutachter' OR betreuerart_kurzbz='Erstbetreuer') @@ -88,15 +94,15 @@ else { $htmlstr .= " \n"; //class='liste".($i%2)."' $htmlstr .= " "; - $htmlstr .= " ".$row->uid." / ".$row->matrikelnr."\n"; + $htmlstr .= " ".$row->uid." / ".$row->matrikelnr."\n"; $htmlstr .= " email"; - $htmlstr .= " ".$row->vorname."\n"; - $htmlstr .= " ".$row->nachname."\n"; - $htmlstr .= " ".$row->projekttyp_kurzbz."\n"; + $htmlstr .= " ".$db->convert_html_chars($row->vorname)."\n"; + $htmlstr .= " ".$db->convert_html_chars($row->nachname)."\n"; + $htmlstr .= " ".$db->convert_html_chars($row->projekttyp_kurzbz)."\n"; $htmlstr .= " ".strtoupper($row->typ.$row->kurzbz)."\n"; - $htmlstr .= " ".$row->studiensemester_kurzbz."\n"; - $htmlstr .= " ".$row->titel."\n"; - $htmlstr .= " ".$row->betreuerart_kurzbz."\n"; + $htmlstr .= " ".$db->convert_html_chars($row->studiensemester_kurzbz)."\n"; + $htmlstr .= " ".$db->convert_html_chars($row->titel)."\n"; + $htmlstr .= " ".$db->convert_html_chars($row->betreuerart_kurzbz)."\n"; $htmlstr .= " \n"; $i++; } @@ -144,4 +150,4 @@ echo '- '.$p->t('ab echo ' '; -?> \ No newline at end of file +?> diff --git a/cis/private/lehre/abgabe_lektor_details.php b/cis/private/lehre/abgabe_lektor_details.php index f36ec7c9b..78b15a994 100644 --- a/cis/private/lehre/abgabe_lektor_details.php +++ b/cis/private/lehre/abgabe_lektor_details.php @@ -38,6 +38,7 @@ require_once('../../../include/benutzerberechtigung.class.php'); require_once('../../../include/datum.class.php'); require_once('../../../include/mail.class.php'); require_once('../../../include/phrasen.class.php'); +require_once('../../../include/projektarbeit.class.php'); if (!$db = new basis_db()) $db=false; @@ -81,6 +82,10 @@ $rechte = new benutzerberechtigung(); $rechte->getBerechtigungen($user); $htmlstr=''; +if(!check_lektor($user)) +{ + die("Sie haben keine Berechtigung fuer diese Seite"); +} $datum = $datum_obj->formatDatum($datum, $format='Y-m-d'); if($uid==-1 && $projektarbeit_id==-1&& $titel==-1) { @@ -101,6 +106,14 @@ if(isset($_GET['id']) && isset($_GET['uid'])) exit; } +$projektarbeit_obj = new projektarbeit(); +if($projektarbeit_id==-1) + exit; + +if(!$projektarbeit_obj->load($projektarbeit_id)) + die('Fehler beim Laden der Projektarbeit'); +$titel = $projektarbeit_obj->titel; + echo ' @@ -124,7 +137,7 @@ if(isset($_POST["schick"])) { if($datum) { - $qry_std="SELECT * FROM campus.vw_benutzer where uid='".addslashes($uid)."'"; + $qry_std="SELECT * FROM campus.vw_benutzer where uid=".$db->db_add_param($uid); if(!$result_std=$db->db_query($qry_std)) { echo "Student konnte nicht gefunden werden!
 "; @@ -135,7 +148,13 @@ if(isset($_POST["schick"])) if($command=='insert') { $qrychk="SELECT * FROM campus.tbl_paabgabe - WHERE projektarbeit_id='".addslashes($projektarbeit_id)."' AND paabgabetyp_kurzbz='".addslashes($paabgabetyp_kurzbz)."' AND fixtermin=".($fixtermin==1?'true':'false')." AND datum='".addslashes($datum)."' AND kurzbz='".addslashes($kurzbz)."'"; + WHERE + projektarbeit_id=".$db->db_add_param($projektarbeit_id, FHC_INTEGER)." + AND paabgabetyp_kurzbz=".$db->db_add_param($paabgabetyp_kurzbz)." + AND fixtermin=".($fixtermin==1?'true':'false')." + AND datum=".$db->db_add_param($datum)." + AND kurzbz=".$db->db_add_param($kurzbz); + if($result=$db->db_query($qrychk)) { if($db->db_num_rows($result)>0) @@ -145,8 +164,15 @@ if(isset($_POST["schick"])) else { //neuer Termin - $qry="INSERT INTO campus.tbl_paabgabe (projektarbeit_id, paabgabetyp_kurzbz, fixtermin, datum, kurzbz, abgabedatum, insertvon, insertamum, updatevon, updateamum) - VALUES ('".addslashes($projektarbeit_id)."', '".addslashes($paabgabetyp_kurzbz)."', ".($fixtermin==1?'true':'false').", '".addslashes($datum)."', '".addslashes($kurzbz)."', NULL, '".addslashes($user)."', now(), NULL, NULL)"; + $qry="INSERT INTO campus.tbl_paabgabe (projektarbeit_id, paabgabetyp_kurzbz, + fixtermin, datum, kurzbz, abgabedatum, insertvon, insertamum, updatevon, updateamum) + VALUES (".$db->db_add_param($projektarbeit_id, FHC_INTEGER).", ". + $db->db_add_param($paabgabetyp_kurzbz).", ". + ($fixtermin==1?'true':'false').", ". + $db->db_add_param($datum).", ". + $db->db_add_param($kurzbz).", NULL, ". + $db->db_add_param($user).", now(), NULL, NULL)"; + //echo $qry; if(!$result=$db->db_query($qry)) { @@ -155,7 +181,7 @@ if(isset($_POST["schick"])) else { $row=@$db->db_fetch_object($result); - $qry_typ="SELECT bezeichnung FROM campus.tbl_paabgabetyp WHERE paabgabetyp_kurzbz='".addslashes($paabgabetyp_kurzbz)."'"; + $qry_typ="SELECT bezeichnung FROM campus.tbl_paabgabetyp WHERE paabgabetyp_kurzbz=".$db->db_add_param($paabgabetyp_kurzbz); if($result_typ=$db->db_query($qry_typ)) { $row_typ=@$db->db_fetch_object($result_typ); @@ -164,8 +190,8 @@ if(isset($_POST["schick"])) { $row_typ->bezeichnung=''; } - $mail = new mail($uid."@".DOMAIN, "vilesci@".DOMAIN, "Neuer Termin Bachelor-/Diplomarbeitsbetreuung", - "Sehr geehrte".($row_std->anrede=="Herr"?"r":"")." ".$row_std->anrede." ".trim($row_std->titelpre." ".$row_std->vorname." ".$row_std->nachname." ".$row_std->titelpost)."!\n\nIhr(e) Betreuer(in) hat einen neuen Termin angelegt:\n".$datum_obj->formatDatum($datum,'d.m.Y').", ".$row_typ->bezeichnung.", ".$kurzbz."\n\nMfG\nIhr(e) Betreuer(in)\n\n--------------------------------------------------------------------------\nDies ist ein vom Bachelor-/Diplomarbeitsabgabesystem generiertes Info-Mail\ncis->Mein CIS->Bachelor- und Diplomarbeitsabgabe\n--------------------------------------------------------------------------"); + $mail = new mail($uid."@".DOMAIN, "no-reply@".DOMAIN, "Neuer Termin Bachelor-/Masterarbeitsbetreuung", + "Sehr geehrte".($row_std->anrede=="Herr"?"r":"")." ".$row_std->anrede." ".trim($row_std->titelpre." ".$row_std->vorname." ".$row_std->nachname." ".$row_std->titelpost)."!\n\nIhr(e) Betreuer(in) hat einen neuen Termin angelegt:\n".$datum_obj->formatDatum($datum,'d.m.Y').", ".$row_typ->bezeichnung.", ".$kurzbz."\n\nMfG\nIhr(e) Betreuer(in)\n\n--------------------------------------------------------------------------\nDies ist ein vom Bachelor-/Masterarbeitsabgabesystem generiertes Info-Mail\ncis->Mein CIS->Bachelor- und Masterarbeitsabgabe\n--------------------------------------------------------------------------"); if(!$mail->send()) { echo "".$p->t('abgabetool/fehlerMailStudent')."
 "; @@ -187,7 +213,10 @@ if(isset($_POST["schick"])) { //Terminänderung //Ermittlung der alten Daten - $qry_old="SELECT * FROM campus.tbl_paabgabe WHERE paabgabe_id='".addslashes($paabgabe_id)."' AND insertvon='".addslashes($user)."'"; + $qry_old="SELECT * FROM campus.tbl_paabgabe + WHERE paabgabe_id=".$db->db_add_param($paabgabe_id, FHC_INTEGER)." + AND insertvon=".$db->db_add_param($user); + if(!$result_old=$db->db_query($qry_old)) { echo "".$p->t('abgabetool/terminNichtGefunden')."
 "; @@ -196,7 +225,9 @@ if(isset($_POST["schick"])) { $row_old=@$db->db_fetch_object($result_old); //Abgabetyp - $qry_told="SELECT bezeichnung FROM campus.tbl_paabgabetyp WHERE paabgabetyp_kurzbz='".addslashes($row_old->paabgabetyp_kurzbz)."'"; + $qry_told="SELECT bezeichnung FROM campus.tbl_paabgabetyp + WHERE paabgabetyp_kurzbz=".$db->db_add_param($row_old->paabgabetyp_kurzbz); + if($result_told=$db->db_query($qry_told)) { $row_told=@$db->db_fetch_object($result_told); @@ -207,14 +238,14 @@ if(isset($_POST["schick"])) } //Termin updaten $qry="UPDATE campus.tbl_paabgabe SET - projektarbeit_id = '".addslashes($projektarbeit_id)."', - paabgabetyp_kurzbz = '".addslashes($paabgabetyp_kurzbz)."', + projektarbeit_id = ".$db->db_add_param($projektarbeit_id, FHC_INTEGER).", + paabgabetyp_kurzbz = ".$db->db_add_param($paabgabetyp_kurzbz).", fixtermin = ".($fixtermin==1?'true':'false').", - datum = '".addslashes($datum)."', - kurzbz = '".addslashes($kurzbz)."', - updatevon = '".addslashes($user)."', + datum = ".$db->db_add_param($datum).", + kurzbz = ".$db->db_add_param($kurzbz).", + updatevon = ".$db->db_add_param($user).", updateamum = now() - WHERE paabgabe_id='".addslashes($paabgabe_id)."' AND insertvon='".addslashes($user)."'"; + WHERE paabgabe_id=".$db->db_add_param($paabgabe_id, FHC_INTEGER)." AND insertvon=".$db->db_add_param($user); //echo $qry; if(!$result=$db->db_query($qry)) { @@ -223,7 +254,7 @@ if(isset($_POST["schick"])) else { //Abgabetyp - $qry_typ="SELECT bezeichnung FROM campus.tbl_paabgabetyp WHERE paabgabetyp_kurzbz='".addslashes($paabgabetyp_kurzbz)."'"; + $qry_typ="SELECT bezeichnung FROM campus.tbl_paabgabetyp WHERE paabgabetyp_kurzbz=".$db->db_add_param($paabgabetyp_kurzbz); if(!$result=$db->db_query($qry)) { $row_typ=@$db->db_fetch_object($result_typ); @@ -232,8 +263,8 @@ if(isset($_POST["schick"])) { $row_typ->bezeichnung=''; } - $mail = new mail($uid."@".DOMAIN, "vilesci@".DOMAIN, "Terminänderung Bachelor-/Diplomarbeitsbetreuung", - "Sehr geehrte".($row_std->anrede=="Herr"?"r":"")." ".$row_std->anrede." ".trim($row_std->titelpre." ".$row_std->vorname." ".$row_std->nachname." ".$row_std->titelpost)."!\n\nIhr(e) Betreuer(in) hat einen Termin geändert:\nVon: ".$datum_obj->formatDatum($row_old->datum,'d.m.Y').", ".$row_told->bezeichnung.", ".$row_old->kurzbz."\nAuf: ".$datum_obj->formatDatum($datum,'d.m.Y').", ".$row_typ->bezeichnung." ".$kurzbz."\n\nMfG\nIhr(e) Betreuer(in)\n\n--------------------------------------------------------------------------\nDies ist ein vom Bachelor-/Diplomarbeitsabgabesystem generiertes Info-Mail\ncis->Mein CIS->Bachelor- und Diplomarbeitsabgabe\n--------------------------------------------------------------------------"); + $mail = new mail($uid."@".DOMAIN, "no-reply@".DOMAIN, "Terminänderung Bachelor-/Masterarbeitsbetreuung", + "Sehr geehrte".($row_std->anrede=="Herr"?"r":"")." ".$row_std->anrede." ".trim($row_std->titelpre." ".$row_std->vorname." ".$row_std->nachname." ".$row_std->titelpost)."!\n\nIhr(e) Betreuer(in) hat einen Termin geändert:\nVon: ".$datum_obj->formatDatum($row_old->datum,'d.m.Y').", ".$row_told->bezeichnung.", ".$row_old->kurzbz."\nAuf: ".$datum_obj->formatDatum($datum,'d.m.Y').", ".$row_typ->bezeichnung." ".$kurzbz."\n\nMfG\nIhr(e) Betreuer(in)\n\n--------------------------------------------------------------------------\nDies ist ein vom Bachelor-/Masterarbeitsabgabesystem generiertes Info-Mail\ncis->Mein CIS->Bachelor- und Masterarbeitsabgabe\n--------------------------------------------------------------------------"); if(!$mail->send()) { echo "".$p->t('abgabetool/fehlerMailStudent')."
 "; @@ -269,7 +300,7 @@ if(isset($_POST["del"])) if($datum) { //Ermittlung der alten Daten - $qry_old="SELECT * FROM campus.tbl_paabgabe WHERE paabgabe_id='".addslashes($paabgabe_id)."' AND insertvon='".addslashes($user)."'"; + $qry_old="SELECT * FROM campus.tbl_paabgabe WHERE paabgabe_id=".$db->db_add_param($paabgabe_id, FHC_INTEGER)." AND insertvon=".$db->db_add_param($user); if(!$result_old=$db->db_query($qry_old)) { echo "".$p->t('abgabetool/terminNichtGefunden')."
 "; @@ -277,7 +308,7 @@ if(isset($_POST["del"])) else { $row_old=@$db->db_fetch_object($result_old); - $qry_std="SELECT * FROM campus.vw_benutzer where uid='".addslashes($uid)."'"; + $qry_std="SELECT * FROM campus.vw_benutzer where uid=".$db->db_add_param($uid); if(!$result_std=$db->db_query($qry_std)) { echo "".$p->t('global/userNichtGefunden')."
 "; @@ -285,15 +316,15 @@ if(isset($_POST["del"])) else { $row_std=@$db->db_fetch_object($result_std); - $qry="DELETE FROM campus.tbl_paabgabe WHERE paabgabe_id='".addslashes($paabgabe_id)."' AND insertvon='".addslashes($user)."'"; + $qry="DELETE FROM campus.tbl_paabgabe WHERE paabgabe_id=".$db->db_add_param($paabgabe_id, FHC_INTEGER)." AND insertvon=".$db->db_add_param($user); if(!$result=$db->db_query($qry)) { echo "".$p->t('abgabetool/fehlerTerminLoeschen')."
 "; } else { - $mail = new mail($uid."@".DOMAIN, "vilesci@".DOMAIN, "Termin Bachelor-/Diplomarbeitsbetreuung", - "Sehr geehrte".($row_std->anrede=="Herr"?"r":"")." ".$row_std->anrede." ".trim($row_std->titelpre." ".$row_std->vorname." ".$row_std->nachname." ".$row_std->titelpost)."!\n\nIhr(e) Betreuer(in) hat einen Termin entfernt:\n".$datum_obj->formatDatum($row_old->datum,'d.m.Y').", ".$row_old->kurzbz."\n\nMfG\nIhr(e) Betreuer(in)\n\n--------------------------------------------------------------------------\nDies ist ein vom Bachelor-/Diplomarbeitsabgabesystem generiertes Info-Mail\ncis->Mein CIS->Bachelor- und Diplomarbeitsabgabe\n--------------------------------------------------------------------------"); + $mail = new mail($uid."@".DOMAIN, "no-reply@".DOMAIN, "Termin Bachelor-/Masterarbeitsbetreuung", + "Sehr geehrte".($row_std->anrede=="Herr"?"r":"")." ".$row_std->anrede." ".trim($row_std->titelpre." ".$row_std->vorname." ".$row_std->nachname." ".$row_std->titelpost)."!\n\nIhr(e) Betreuer(in) hat einen Termin entfernt:\n".$datum_obj->formatDatum($row_old->datum,'d.m.Y').", ".$row_old->kurzbz."\n\nMfG\nIhr(e) Betreuer(in)\n\n--------------------------------------------------------------------------\nDies ist ein vom Bachelor-/Masterarbeitsabgabesystem generiertes Info-Mail\ncis->Mein CIS->Bachelor- und Masterarbeitsabgabe\n--------------------------------------------------------------------------"); $mail->setReplyTo($user."@".DOMAIN); if(!$mail->send()) { @@ -314,21 +345,19 @@ if(isset($_POST["del"])) unset($_POST["del"]); } -$qry="SELECT * FROM campus.tbl_paabgabe WHERE projektarbeit_id='".addslashes($projektarbeit_id)."' ORDER BY datum;"; +$qry="SELECT * FROM campus.tbl_paabgabe WHERE projektarbeit_id=".$db->db_add_param($projektarbeit_id, FHC_INTEGER)." ORDER BY datum;"; $studentenname=''; -$qry_nam="SELECT trim(COALESCE(vorname,'')||' '||COALESCE(nachname,'')) as studnam FROM campus.vw_student WHERE uid='".addslashes($uid)."'"; +$qry_nam="SELECT trim(COALESCE(vorname,'')||' '||COALESCE(nachname,'')) as studnam FROM campus.vw_student WHERE uid=".$db->db_add_param($uid); $result_nam=$db->db_query($qry_nam); while ($result_nam && $row_nam=$db->db_fetch_object($result_nam)) { $studentenname=$row_nam->studnam; } $htmlstr .= "\n"; -//$htmlstr .= ""; -$htmlstr .= ""; +$htmlstr .= ""; $htmlstr .= ""; if($betreuerart!="Zweitbegutachter") { @@ -339,7 +368,7 @@ else { $htmlstr .= ""; } -$htmlstr .= ""; +$htmlstr .= ""; $htmlstr .= "\n"; $htmlstr .= "
Student: ".$uid."
".$p->t('abgabetool/student').": ".$studentenname."
".$p->t('abgabetool/student').": ".$db->convert_html_chars($studentenname)."
"; $htmlstr .= "\n"; $htmlstr .= "\n"; -//$htmlstr .= "Anleitung   "; $htmlstr .= "
 
Titel: ".$titel."".$p->t('abgabetool/studentenansicht')."
Titel: ".$db->convert_html_chars($titel)."".$p->t('abgabetool/studentenansicht')."
\n"; $htmlstr .= "
".$p->t('abgabetool/abgabetermine').":\n"; @@ -361,7 +390,6 @@ $result=@$db->db_query($qry); $htmlstr .= "
\n"; $htmlstr .= "\n"; $htmlstr .= "\n"; - $htmlstr .= "\n"; $htmlstr .= "\n"; $htmlstr .= "\n"; $htmlstr .= "\n"; @@ -475,14 +503,13 @@ $result=@$db->db_query($qry); } //Eingabezeile fuer neuen Termin -$htmlstr .= "\n"; -$htmlstr .= "\n"; -$htmlstr .= "\n"; -$htmlstr .= "\n"; -$htmlstr .= "\n"; -$htmlstr .= "\n"; -$htmlstr .= "\n"; -$htmlstr .= "\n"; +$htmlstr .= ''."\n"; +$htmlstr .= ''."\n"; +$htmlstr .= ''."\n"; +$htmlstr .= ''."\n"; +$htmlstr .= ''."\n"; +$htmlstr .= ''."\n"; +$htmlstr .= ''."\n"; //$htmlstr .= ""; $htmlstr .= "  "; diff --git a/cis/private/lehre/abgabe_lektor_multitermin.php b/cis/private/lehre/abgabe_lektor_multitermin.php index e221d19df..4556900f3 100644 --- a/cis/private/lehre/abgabe_lektor_multitermin.php +++ b/cis/private/lehre/abgabe_lektor_multitermin.php @@ -73,6 +73,41 @@ $error = false; $rechte = new benutzerberechtigung(); $rechte->getBerechtigungen($user); +$lektor = check_lektor($user); +if(!$rechte->isBerechtigt('admin') && !$lektor) +{ + die('Sie haben keine Berechtigung fuer diese Seite'); +} +if($irgendwas=='') + die('Es wurden keine Eintraege markiert'); + +if(!$rechte->isBerechtigt('admin') && !$rechte->isBerechtigt('lehre/abgabetool')) +{ + echo "foo"; + // Pruefen ob der Lektor zu diesen Projektarbeiten zugeteilt ist + $ids = explode(";",$irgendwas); + foreach($ids as $id) + { + if($id!='') + { + $qry = "SELECT + projektarbeit_id + FROM + lehre.tbl_projektbetreuer + JOIN public.tbl_benutzer USING(person_id) + WHERE projektarbeit_id=".$db->db_add_param($id)." + AND uid=".$db->db_add_param($user); + if($result = $db->db_query($qry)) + { + echo "bar".$id; + if($db->db_num_rows($result)==0) + { + die('Sie sind nicht zu dieser Projektarbeit zugeteilt'); + } + } + } + } +} //echo $irgendwas."
"; if(isset($_POST["schick"])) @@ -82,8 +117,12 @@ if(isset($_POST["schick"])) for($j=0;$jdb_add_param($termine[$j])." + AND betreuerart_kurzbz='Zweitbegutachter' + AND person_id=(SELECT person_id FROM campus.vw_mitarbeiter + WHERE uid=".$db->db_add_param($user).")"; + $result2=$db->db_query($qry2); //zweitbetreuer koennen keine termine eintragen if($db->db_num_rows($result2)==0) { //echo "neuer Termin"; - $qry="INSERT INTO campus.tbl_paabgabe (projektarbeit_id, paabgabetyp_kurzbz, fixtermin, datum, kurzbz, abgabedatum, insertvon, insertamum, updatevon, updateamum) - VALUES ('".addslashes($termine[$j])."', '".addslashes($paabgabetyp_kurzbz)."', ".($fixtermin==1?'true':'false').", '".addslashes($datum)."', '".addslashes($kurzbz)."', NULL, '".addslashes($user)."', now(), NULL, NULL)"; - //echo $qry; + $qry="INSERT INTO campus.tbl_paabgabe (projektarbeit_id, paabgabetyp_kurzbz, + fixtermin, datum, kurzbz, abgabedatum, insertvon, insertamum, updatevon, updateamum) + VALUES (".$db->db_add_param($termine[$j]).", ". + $db->db_add_param($paabgabetyp_kurzbz).", ". + ($fixtermin==1?'true':'false').", ". + $db->db_add_param($datum).", ". + $db->db_add_param($kurzbz).", NULL, ". + $db->db_add_param($user).", now(), NULL, NULL)"; + //echo $qry; if(!$result=$db->db_query($qry)) { echo "".$p->t('abgabetool/fehlerTerminEintragen')."
 "; @@ -111,7 +160,7 @@ if(isset($_POST["schick"])) else { $row=$db->db_fetch_object($result); - $qry_typ="SELECT bezeichnung FROM campus.tbl_paabgabetyp WHERE paabgabetyp_kurzbz='".addslashes($paabgabetyp_kurzbz)."'"; + $qry_typ="SELECT bezeichnung FROM campus.tbl_paabgabetyp WHERE paabgabetyp_kurzbz=".$db->db_add_param($paabgabetyp_kurzbz); if($result_typ=$db->db_query($qry_typ)) { $row_typ=$db->db_fetch_object($result_typ); @@ -121,12 +170,12 @@ if(isset($_POST["schick"])) $row_typ->bezeichnung=''; } //Student zu projektarbeit_id suchen - $qry_std="SELECT * FROM campus.vw_student WHERE uid IN(SELECT student_uid FROM lehre.tbl_projektarbeit WHERE projektarbeit_id='".addslashes($termine[$j])."')"; + $qry_std="SELECT * FROM campus.vw_student WHERE uid IN(SELECT student_uid FROM lehre.tbl_projektarbeit WHERE projektarbeit_id=".$db->db_add_param($termine[$j]).")"; if($result_std=@$db->db_query($qry_std)) { $row_std=$db->db_fetch_object($result_std); - $mail = new mail($row_std->uid."@".DOMAIN, "vilesci@".DOMAIN, "Neuer Termin Bachelor-/Diplomarbeitsbetreuung", - "Sehr geehrte".($row_std->anrede=="Herr"?"r":"")." ".$row_std->anrede." ".trim($row_std->titelpre." ".$row_std->vorname." ".$row_std->nachname." ".$row_std->titelpost)."!\n\nIhr(e) Betreuer(in) hat einen neuen Termin angelegt:\n".$datum_obj->formatDatum($datum,'d.m.Y').", ".$row_typ->bezeichnung.", ".$kurzbz."\n\nMfG\nIhr(e) Betreuer(in)\n\n--------------------------------------------------------------------------\nDies ist ein vom Bachelor-/Diplomarbeitsabgabesystem generiertes Info-Mail\ncis->Mein CIS->Bachelor- und Diplomarbeitsabgabe\n--------------------------------------------------------------------------"); + $mail = new mail($row_std->uid."@".DOMAIN, "no-reply@".DOMAIN, "Neuer Termin Bachelor-/Masterarbeitsbetreuung", + "Sehr geehrte".($row_std->anrede=="Herr"?"r":"")." ".$row_std->anrede." ".trim($row_std->titelpre." ".$row_std->vorname." ".$row_std->nachname." ".$row_std->titelpost)."!\n\nIhr(e) Betreuer(in) hat einen neuen Termin angelegt:\n".$datum_obj->formatDatum($datum,'d.m.Y').", ".$row_typ->bezeichnung.", ".$kurzbz."\n\nMfG\nIhr(e) Betreuer(in)\n\n--------------------------------------------------------------------------\nDies ist ein vom Bachelor-/Masterarbeitsabgabesystem generiertes Info-Mail\ncis->Mein CIS->Bachelor- und Masterarbeitsabgabe\n--------------------------------------------------------------------------"); if(!$mail->send()) { echo "".$p->t('abgabetool/fehlerMailStudent')." ($row_std->uid)
 "; @@ -167,8 +216,8 @@ echo ' //Eingabezeile für neuen Termin $htmlstr .= "
".$p->t('abgabetool/abgabetermine').":\n"; $htmlstr .= "\n"; -$htmlstr .= "\n"; -$htmlstr .= "\n"; +$htmlstr .= ''; +$htmlstr .= ''; $htmlstr .= "\n"; $htmlstr .= " @@ -176,7 +225,7 @@ $htmlstr .= "\n"; $htmlstr .= "\n"; //$htmlstr .= ""; -$htmlstr .= " \n"; +$htmlstr .= " \n"; $htmlstr .= " \n"; -$htmlstr .= " \n"; +$htmlstr .= " \n"; $htmlstr .= " \n"; $htmlstr .= " "; @@ -199,4 +248,4 @@ $htmlstr .= "
".$p->t('abgabetool/datum')."
".$p->t('abgabetool/beschreibungAbgabe')."
 
\n"; echo $htmlstr; echo ''; -?> \ No newline at end of file +?> diff --git a/cis/private/lehre/abgabe_lektor_zusatz.php b/cis/private/lehre/abgabe_lektor_zusatz.php index ca4df3aee..39488b6c3 100644 --- a/cis/private/lehre/abgabe_lektor_zusatz.php +++ b/cis/private/lehre/abgabe_lektor_zusatz.php @@ -107,29 +107,52 @@ echo '

'.$p->t('abgabetool/abgabeZusatzdaten').'

'; - $qry_zd="SELECT * FROM lehre.tbl_projektarbeit WHERE projektarbeit_id='".addslashes($projektarbeit_id)."'"; + $qry_zd="SELECT * FROM lehre.tbl_projektarbeit WHERE projektarbeit_id=".$db->db_add_param($projektarbeit_id, FHC_INTEGER); $result_zd=@$db->db_query($qry_zd); if ($row_zd=@$db->db_fetch_object($result_zd)) { - $htmlstr = "
".$p->t('abgabetool/student').": ".$uid."
".$p->t('abgabetool/titel').": ".$row_zd->titel."

\n"; - $htmlstr .= "\n"; - $htmlstr .= "\n"; - $htmlstr .= "\n"; - $htmlstr .= "\n"; - $htmlstr .= "\n"; - $htmlstr .= "\n"; - $htmlstr .= "\n"; - $htmlstr .= "\n"; - $htmlstr .= "\n"; - $htmlstr .= "\n"; - $htmlstr .= "\n"; - $htmlstr .= "
".$p->t('abgabetool/spracheDerArbeit').":"; - $htmlstr .= ""; - $htmlstr .= "
".$p->t('abgabetool/kontrollierteSchlagwoerter').":*
".$p->t('abgabetool/deutscheSchlagwoerter').":
".$p->t('abgabetool/englischeSchlagwoerter').":
".$p->t('abgabetool/abstract')." ".$p->t('abgabetool/maxZeichen').":*
".$p->t('abgabetool/abstractEng')." ".$p->t('abgabetool/maxZeichen').":*
".$p->t('abgabetool/seitenanzahl').":*
"; - $htmlstr .= "\n"; - $htmlstr .= "
 
* ".$p->t('abgabetool/pflichtfeld')."
 
\n"; + echo '
'.$p->t('abgabetool/student').': '.$db->convert_html_chars($uid).' +
'.$p->t('abgabetool/titel').': '.$db->convert_html_chars($row_zd->titel).' +

+ + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +
'.$p->t('abgabetool/spracheDerArbeit').':
'.$p->t('abgabetool/kontrollierteSchlagwoerter').':*
'.$p->t('abgabetool/deutscheSchlagwoerter').':
'.$p->t('abgabetool/englischeSchlagwoerter').':
'.$p->t('abgabetool/abstract').' '.$p->t('abgabetool/maxZeichen').':*
'.$p->t('abgabetool/abstractEng').' '.$p->t('abgabetool/maxZeichen').':*
'.$p->t('abgabetool/seitenanzahl').':*
+ + + + +
 
* '.$p->t('abgabetool/pflichtfeld').'
 
'; } - echo $htmlstr; + echo ''; -?> \ No newline at end of file +?> diff --git a/cis/private/lehre/abgabe_student_details.php b/cis/private/lehre/abgabe_student_details.php index 0225236be..788b7b225 100644 --- a/cis/private/lehre/abgabe_student_details.php +++ b/cis/private/lehre/abgabe_student_details.php @@ -41,6 +41,13 @@ $p = new phrasen($anzeigesprache); if (!$db = new basis_db()) die($p->t('global/fehlerBeimOeffnenDerDatenbankverbindung')); +// Wenn die Datei zu gross ist, dann ist FILES und POST leer +if(empty($_FILES) && empty($_POST) && isset($_SERVER['REQUEST_METHOD']) && strtolower($_SERVER['REQUEST_METHOD'])=='post') +{ + echo $p->t('abgabetool/dateiZuGross'); + exit; +} + if(!isset($_POST['uid'])) { $uid = (isset($_GET['uid'])?$_GET['uid']:'-1'); @@ -87,16 +94,16 @@ else } $user = get_uid(); -if($uid=='-1') +if($uid=='-1' || $projektarbeit_id=='-1') { exit; } -// Bei Studierenden pruefen ob die Uebergebene Projektarbeit zu dem Studierenden passt. -$projektarbeit_obj = new projektarbeit(); - -if(!$projektarbeit_obj->load($projektarbeit_id)) - die('Ungueltiger Eintrag'); +// Bei Studierenden pruefen ob die Uebergebene Projektarbeit zu dem Studierenden passt. +$projektarbeit_obj = new projektarbeit(); + +if(!$projektarbeit_obj->load($projektarbeit_id)) + die('Ungueltiger Eintrag'); $titel = $projektarbeit_obj->titel; $person = new person(); @@ -259,7 +266,8 @@ if($command=="update" && $error!=true) //Dateiupload bearbeiten if ((isset($_FILES) and isset($_FILES['datei']) and ! $_FILES['datei']['error'])) { - if(strtoupper(end(explode(".", $_FILES['datei']['name'])))=='PDF') + $extensions = explode(".", $_FILES['datei']['name']); + if(strtoupper(end($extensions))=='PDF') { if($paabgabetyp_kurzbz!='end') { @@ -565,4 +573,4 @@ if($command!="add") echo ''; } -?> \ No newline at end of file +?> diff --git a/include/js/jquery.tablesorter.js b/include/js/jquery.tablesorter.js index e42e3b782..05d46dece 100644 --- a/include/js/jquery.tablesorter.js +++ b/include/js/jquery.tablesorter.js @@ -745,8 +745,7 @@ ts.addParser({ id: "DatummitUhrzeit", is: function(s) { - alert("CHECK"); - return s.match(new RegExp(/^[0-9]{1,2}.[0-9]{1,2}.[0-9]{4} ( (([0-2]?[0-9]:[0-5][0-9])|([0-1]?[0-9]:[0-5][0-9]))$/)); + return s.match(new RegExp(/^[0-9]{1,2}.[0-9]{1,2}.[0-9]{4} (([0-2]?[0-9]:[0-5][0-9])|([0-1]?[0-9]:[0-5][0-9]))$/)); }, format: function(s) { return $.tablesorter.formatFloat(new Date(s).getTime()); diff --git a/include/tw/abgabe_lektor_benotung.php b/include/tw/abgabe_lektor_benotung.php index 651aad42a..4734042ff 100644 --- a/include/tw/abgabe_lektor_benotung.php +++ b/include/tw/abgabe_lektor_benotung.php @@ -168,7 +168,7 @@ else $pdf->MultiCell(0,15,'Beurteilung Bachelorarbeit'); - $qry_beu="SELECT * FROM public.tbl_person JOIN public.tbl_benutzer using(person_id) WHERE uid='".$getuid."';"; + $qry_beu="SELECT * FROM public.tbl_person JOIN public.tbl_benutzer using(person_id) WHERE uid=".$db->db_add_param($getuid).";"; if(!$erg_beu=@$db->db_query($qry_beu)) { die('Fehler beim Laden des Betreuernamens'); @@ -428,7 +428,7 @@ else $pdf->SetXY(30,150-$titelabzug); $pdf->MultiCell(0,15,'Beurteilung Master Thesis - 1. BegutachterIn'); - $qry_beu="SELECT * FROM public.tbl_person JOIN public.tbl_benutzer using(person_id) WHERE uid='".$getuid."';"; + $qry_beu="SELECT * FROM public.tbl_person JOIN public.tbl_benutzer using(person_id) WHERE uid=".$db->db_add_param($getuid).";"; if(!$erg_beu=@$db->db_query($qry_beu)) { die('Fehler beim Laden des Betreuernamens'); @@ -699,7 +699,7 @@ else -$sql_query = "SELECT *,(SELECT abgabedatum FROM campus.tbl_paabgabe WHERE projektarbeit_id='$projektarbeit_id' AND abgabedatum is NOT NULL ORDER BY abgabedatum DESC LIMIT 1) as abgabedatum FROM (SELECT DISTINCT ON(tbl_projektarbeit.projektarbeit_id) tbl_studiengang.bezeichnung as stgbezeichnung, tbl_studiengang.typ as stgtyp, * +$sql_query = "SELECT *,(SELECT abgabedatum FROM campus.tbl_paabgabe WHERE projektarbeit_id=".$db->db_add_param($projektarbeit_id, FHC_INTEGER)." AND abgabedatum is NOT NULL ORDER BY abgabedatum DESC LIMIT 1) as abgabedatum FROM (SELECT DISTINCT ON(tbl_projektarbeit.projektarbeit_id) tbl_studiengang.bezeichnung as stgbezeichnung, tbl_studiengang.typ as stgtyp, * FROM lehre.tbl_projektarbeit LEFT JOIN lehre.tbl_projektbetreuer using(projektarbeit_id) LEFT JOIN public.tbl_benutzer on(uid=student_uid) LEFT JOIN public.tbl_student on(tbl_benutzer.uid=tbl_student.student_uid) @@ -710,9 +710,9 @@ $sql_query = "SELECT *,(SELECT abgabedatum FROM campus.tbl_paabgabe WHERE projek WHERE (projekttyp_kurzbz='Bachelor' OR projekttyp_kurzbz='Diplom') AND tbl_projektbetreuer.person_id IN (SELECT person_id FROM public.tbl_benutzer WHERE public.tbl_benutzer.person_id=lehre.tbl_projektbetreuer.person_id - AND public.tbl_benutzer.uid='".addslashes($getuid)."') + AND public.tbl_benutzer.uid=".$db->db_add_param($getuid).") AND lehre.tbl_projektarbeit.note IS NULL - AND lehre.tbl_projektarbeit.projektarbeit_id='".addslashes($projektarbeit_id)."' + AND lehre.tbl_projektarbeit.projektarbeit_id=".$db->db_add_param($projektarbeit_id, FHC_INTEGER)." ORDER BY tbl_projektarbeit.projektarbeit_id, betreuerart_kurzbz desc) as xy ORDER BY nachname"; @@ -907,19 +907,20 @@ else $htmlstr = "
"; $htmlstr .= "\n"; - $htmlstr .= ""; + $htmlstr .= ''; $htmlstr .= ""; - $htmlstr .= ""; - $htmlstr .= "\n"; - $htmlstr .= "\n"; + $htmlstr .= ''; + $htmlstr .= ''; + $htmlstr .= ''; + $htmlstr .= ''; + $htmlstr .= ''; if($row->projekttyp_kurzbz!='Bachelor') { $htmlstr .= ""; $weight1='0.6'; } - $htmlstr .= "\n - \n"; + $htmlstr .= ' + '; if($row->projekttyp_kurzbz!='Bachelor') { - $htmlstr.=""; + $htmlstr.=''; } else { $htmlstr.=""; } - $htmlstr .="\n"; + $htmlstr .=''; if($row->projekttyp_kurzbz!='Bachelor') { - $htmlstr .= " - \n"; + '; $weight2='0.2'; } else { - $htmlstr .= " - \n"; + '; $weight2='0.4'; } - $htmlstr .= "\n"; + $htmlstr .= ''; if($row->projekttyp_kurzbz!='Bachelor') { $htmlstr .=""; @@ -1011,20 +1012,20 @@ else { $htmlstr .=""; } - $htmlstr .="\n"; + $htmlstr .=''; if($row->projekttyp_kurzbz!='Bachelor') { - $htmlstr .= " - \n - \n - - "; + \n + \n + + '; } else { @@ -1037,8 +1038,8 @@ else //$htmlstr .=" $htmlstr .=""; - $htmlstr .= ""; - $htmlstr .= ""; + $htmlstr .= ''; + $htmlstr .= ''; $htmlstr .="
Student: ".$row->matrikelnr.", ".trim($row->titelpre." ".$row->vorname." ".$row->nachname." ".$row->titelpost)."
Titel: ".$titel.""; - $htmlstr .= "\n"; - $htmlstr .= "\n"; - $htmlstr .= "\n"; - $htmlstr .= "\n"; - $htmlstr .= "\n"; - $htmlstr .= "\n"; - $htmlstr .= "\n"; - $htmlstr .= "\n"; - $htmlstr .= "\n"; - $htmlstr .= "\n"; + $htmlstr .= "
Titel: ".$db->convert_html_chars($titel).""; + $htmlstr .= ''; + $htmlstr .= ''; + $htmlstr .= ''; + $htmlstr .= ''; + $htmlstr .= ''; + $htmlstr .= ''; + $htmlstr .= ''; + $htmlstr .= ''; + $htmlstr .= 'nachname).'">'; + $htmlstr .= ''; + if($row->stgtyp=='b') { $stgtyp='Bachelor'; @@ -936,11 +937,11 @@ else { $stgtyp=''; } - $htmlstr .= "\n"; - $htmlstr .= "\n"; - $htmlstr .= "
 Kurze schriftliche BeurteilungPunkte (0-100)GewichtPunkte x Gewicht
 Kurze schriftliche BeurteilungPunkte (0-100)GewichtPunkte x Gewicht
Qualität des eigenen Beitrags
@@ -963,46 +964,46 @@ else Qualität der Lösung		 -
Buchstaben noch zur Verfügung 		- +
Buchstaben noch zur Verfügung 		+ 0.550.550.60
Form / Stil
+ $htmlstr .= '		Form / Stil
Hat die Diplomarbeit eine klare Stuktur, entspricht der Vorgabe?
Wird einwandfrei zitiert?
Abbildungen
Sprache: benötigte Überarbeitungen seitens der Betreuerin / des Betreuers		 -
Buchstaben noch zur Verfügung		 +
Buchstaben noch zur Verfügung		Form / Stil
+ $htmlstr .= '		Form / Stil
Hat die Bachelorarbeit eine klare Stuktur, entspricht der Vorgabe?
Wird einwandfrei zitiert?
Abbildungen
Sprache		 -
Buchstaben noch zur Verfügung		 +
Buchstaben noch zur Verfügung		 - + 0.200.40
Qualität der Hintergrundinformation
+ $htmlstr .= '		Qualität der Hintergrundinformation
Werden Gesamtzusammenhänge erkannt, wird Bedeutung und Gewicht der Einflussfaktoren / Daten / Informationen richtig bewertet?
Intelligente Darstellung des relevanten Stands der Technik und des Firmenumfelds
Aufdecken und Darstellen von größeren (z.B. wirtschaftlichen und sozialen) Zusammenhängen und entsprechende Diskussion		 -
Buchstaben noch zur Verfügung		 - 0.25
+
Buchstaben noch zur Verfügung		 + 0.25
   
Note
Note
"; $htmlstr .= "
"; @@ -1074,4 +1075,4 @@ else die('Betreuung nicht gefunden!'); } } -?> \ No newline at end of file +?> diff --git a/locale/de-AT/abgabetool.php b/locale/de-AT/abgabetool.php index b4c355019..d7d681257 100755 --- a/locale/de-AT/abgabetool.php +++ b/locale/de-AT/abgabetool.php @@ -49,6 +49,7 @@ $this->phrasen['abgabetool/nurPDF']='nur PDF bis max. 15 MB'; $this->phrasen['abgabetool/terminVorbei']='Termin vorbei'; $this->phrasen['abgabetool/projektabgabeUebersicht']='Projektabgabe - Übersicht'; $this->phrasen['abgabetool/termin']='Termin'; +$this->phrasen['abgabetool/terminVorhanden']='Dieser Termin ist bereits vohanden'; $this->phrasen['abgabetool/keineTermineVorhanden']='Derzeit sind keine Termine vorhanden'; $this->phrasen['abgabetool/TeminVorhanden']='Dieser Termin ist bereits vorhanden'; diff --git a/locale/de-AT/dms_link.php b/locale/de-AT/dms_link.php index 4d9b97435..07510449f 100644 --- a/locale/de-AT/dms_link.php +++ b/locale/de-AT/dms_link.php @@ -9,6 +9,7 @@ $this->phrasen['dms_link/moodleHandbuch']='33'; //Moodle Handbuch $this->phrasen['dms_link/moodleHandbuch24']='1426'; //Moodle Handbuch $this->phrasen['dms_link/abgabetoolLektorHandbuch']='28'; //Abgabetool Handbuch fuer LektorInnen $this->phrasen['dms_link/abgabetoolStudentHandbuch']='27'; //Abgabetool Handbuch fuer Studierende +$this->phrasen['dms_link/abgabetoolAssistenzHandbuch']='28'; //Abgabetool Handbuch fuer Studierende $this->phrasen['dms_link/iconPDF']='46'; //PDF Icon $this->phrasen['dms_link/bedienungsanleitungMailverteiler']='1474'; //Bedienungsanleitung Mailverteiler $this->phrasen['dms_link/berechtigungskonzeptMailverteiler']='1475'; //Berechtigungskonzept Mailverteiler @@ -21,4 +22,4 @@ $this->phrasen['dms_link/bildRichtlinien']='6174'; //Link zu den Bild Richtlinen $this->phrasen['dms_link/sicherheitAnDerFHTW']='6765'; //Link zum Hauptpunkt "Sicherheit an der FHTW" aus dem Ersthelfer-Skript $this->phrasen['dms_link/lvplanSyncFAQ']='7188'; //Link zur Anleitung zur Kalender Abbonierung $this->phrasen['dms_link/profilhilfe']=''; //Hilfe-Link aus dem Profil -?> \ No newline at end of file +?> diff --git a/vilesci/lehre/abgabe_assistenz.php b/vilesci/lehre/abgabe_assistenz.php index 48af0112f..f2e8df707 100644 --- a/vilesci/lehre/abgabe_assistenz.php +++ b/vilesci/lehre/abgabe_assistenz.php @@ -34,13 +34,15 @@ require_once('../../include/benutzer.class.php'); require_once('../../include/benutzerberechtigung.class.php'); require_once('../../include/mitarbeiter.class.php'); require_once('../../include/variable.class.php'); +require_once('../../include/phrasen.class.php'); if (!$db = new basis_db()) die('Es konnte keine Verbindung zum Server aufgebaut werden.'); if (!$getuid = get_uid()) die('Keine UID gefunden ! Zurück'); - + +$p=new phrasen(DEFAULT_LANGUAGE); $htmlstr = ""; $erstbegutachter=''; $zweitbegutachter=''; @@ -92,7 +94,7 @@ $sql_query = "SELECT *, WHERE (projekttyp_kurzbz='Bachelor' OR projekttyp_kurzbz='Diplom') AND public.tbl_benutzer.aktiv AND lehre.tbl_projektarbeit.note IS NULL - AND public.tbl_studiengang.studiengang_kz='$stg_kz' + AND public.tbl_studiengang.studiengang_kz=".$db->db_add_param($stg_kz)." ORDER BY tbl_projektarbeit.projektarbeit_id desc) as xy ORDER BY nachname"; @@ -142,7 +144,7 @@ else FROM public.tbl_person JOIN lehre.tbl_projektbetreuer ON(lehre.tbl_projektbetreuer.person_id=public.tbl_person.person_id) LEFT JOIN public.tbl_benutzer ON(public.tbl_benutzer.person_id=public.tbl_person.person_id) LEFT JOIN public.tbl_mitarbeiter ON(public.tbl_benutzer.uid=public.tbl_mitarbeiter.mitarbeiter_uid) - WHERE projektarbeit_id='$row->projektarbeit_id' + WHERE projektarbeit_id=".$db->db_add_param($row->projektarbeit_id, FHC_INTEGER)." AND (tbl_projektbetreuer.betreuerart_kurzbz='Erstbegutachter' OR tbl_projektbetreuer.betreuerart_kurzbz='Betreuer') UNION SELECT '' as first, trim(COALESCE(nachname,'')||', '||COALESCE(titelpre,'')||' '||COALESCE(vorname,'')||' '||COALESCE(titelpost,'')) as second, @@ -151,7 +153,7 @@ else FROM public.tbl_person JOIN lehre.tbl_projektbetreuer ON(lehre.tbl_projektbetreuer.person_id=public.tbl_person.person_id) LEFT JOIN public.tbl_benutzer ON(public.tbl_benutzer.person_id=public.tbl_person.person_id) LEFT JOIN public.tbl_mitarbeiter ON(public.tbl_benutzer.uid=public.tbl_mitarbeiter.mitarbeiter_uid) - WHERE projektarbeit_id='$row->projektarbeit_id' + WHERE projektarbeit_id=".$db->db_add_param($row->projektarbeit_id, FHC_INTEGER)." AND tbl_projektbetreuer.betreuerart_kurzbz='Zweitbegutachter' "; @@ -199,10 +201,10 @@ else $htmlstr .= " \n";//class='liste".($i%2)."' $htmlstr .= " "; //Anzeige - $qry_end="SELECT * FROM campus.tbl_paabgabe WHERE paabgabetyp_kurzbz='end' AND projektarbeit_id='$row->projektarbeit_id' ORDER BY datum DESC"; + $qry_end="SELECT * FROM campus.tbl_paabgabe WHERE paabgabetyp_kurzbz='end' AND projektarbeit_id=".$db->db_add_param($row->projektarbeit_id, FHC_INTEGER)." ORDER BY datum DESC"; if(!$result_end=$db->db_query($qry_end)) { - $htmlstr .= " \n"; + $htmlstr .= " \n"; } else { @@ -239,30 +241,30 @@ else } if($bgcol!='') { - $htmlstr .= " \n"; + $htmlstr .= " \n"; } else { - $htmlstr .= " \n"; + $htmlstr .= " \n"; } } else { - $htmlstr .= " \n"; + $htmlstr .= " \n"; } } else { - $htmlstr .= " \n"; + $htmlstr .= " \n"; } } $htmlstr .= " "; - $htmlstr .= " \n"; - $htmlstr .= " \n"; - $htmlstr .= " \n"; - $htmlstr .= " \n"; - $htmlstr .= " \n"; - $htmlstr .= " \n"; + $htmlstr .= " \n"; + $htmlstr .= " \n"; + $htmlstr .= " \n"; + $htmlstr .= " \n"; + $htmlstr .= " \n"; + $htmlstr .= " \n"; //$htmlstr.=" //email"; @@ -289,8 +291,8 @@ else $i++; } $htmlstr .= "
".$row->uid."".$row->uid."".$row->uid."".$row->uid."".$row->uid."".$row->uid."".$row->uid."".$row->uid."".$row->uid."".$row->uid."email".$row->studiensemester_kurzbz."".$row->vorname."".$row->nachname."".$row->organisationsform."".$row->prjbez."".$row->titel."".$db->convert_html_chars($row->studiensemester_kurzbz)."".$db->convert_html_chars($row->vorname)."".$db->convert_html_chars($row->nachname)."".$db->convert_html_chars($row->organisationsform)."".$db->convert_html_chars($row->prjbez)."".$db->convert_html_chars($row->titel)."
\n"; - $htmlstr .= "\n"; - $htmlstr .= "\n"; + $htmlstr .= ''; + $htmlstr .= ''; $htmlstr .= "
"; $htmlstr .= "\n"; $htmlstr .= ""; @@ -308,8 +310,6 @@ else Abgabesystem_Assistenzsicht - - - - -

Abgabe Zusatzdaten

'; - $row_zd=''; - $qry_zd="SELECT * FROM lehre.tbl_projektarbeit WHERE projektarbeit_id='".$projektarbeit_id."'"; - if ($result_zd=$db->db_query($qry_zd)) - $row_zd=$db->db_fetch_object($result_zd); - - $htmlstr = "
Student: ".$uid."
Titel: ".(isset($row_zd->titel)?$row_zd->titel:'')."

\n"; - $htmlstr .= "
alle markieren
 
\n"; - $htmlstr .= "\n"; - $htmlstr .= "\n"; - $htmlstr .= "\n"; - $htmlstr .= "\n"; - $htmlstr .= "\n"; - $htmlstr .= "\n"; - $htmlstr .= "\n"; - $htmlstr .= "\n"; - $htmlstr .= "\n"; - $htmlstr .= "\n"; - $htmlstr .= "
Sprache der Arbeit:"; - $htmlstr .= ""; - $htmlstr .= "
Kontrollierte Schlagwörter:*
Dt. Schlagwörter:
Engl. Schlagwörter:
Abstract (max. 5000 Zeichen):*
Abstract engl.(max. 5000 Zeichen):*
Seitenanzahl:*
"; - $htmlstr .= "\n"; - $htmlstr .= "
 
* Pflichtfeld
 
\n"; - $htmlstr .= ""; + + + +Zusatzdaten PA-Abgabe + + + + + + +

Abgabe Zusatzdaten

'; +$row_zd=''; +$qry_zd="SELECT * FROM lehre.tbl_projektarbeit WHERE projektarbeit_id='".$projektarbeit_id."'"; +if ($result_zd=$db->db_query($qry_zd)) + $row_zd=$db->db_fetch_object($result_zd); - echo $htmlstr; - echo ''; +echo '
Student: '.$uid.'
Titel: '. + (isset($row_zd->titel)?$db->convert_html_chars($row_zd->titel):'').'

-?> \ No newline at end of file + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +
Sprache der Arbeit:
Kontrollierte Schlagwörter:*
Dt. Schlagwörter:
Engl. Schlagwörter:
Abstract (max. 5000 Zeichen):*
Abstract engl.(max. 5000 Zeichen):*
Seitenanzahl:*
+ + + + + + + + +
 
* Pflichtfeld
 
+'; + +?>