blackicedbear/FHC-Core
1
0
Fork 0
mirror of https://github.com/FH-Complete/FHC-Core.git synced 2026-06-01 12:19:28 +00:00
Code Issues Packages Projects Releases Wiki Activity
Files
f670f45d2f505b02dedc51bc61214354db9897b3
FHC-Core/content/tempusDBDML.php
T
Andreas Österreicher f670f45d2f Diverse SQL-Injection Lücken geschlossen
2014-12-01 10:07:21 +00:00

307 lines
8.2 KiB
PHP
Raw Blame History

<?php
/* Copyright (C) 2006 Technikum-Wien
*
* This program is free software; you can redistribute it and/or modify
* it under the terms of the GNU General Public License as
* published by the Free Software Foundation; either version 2 of the
* License, or (at your option) any later version.
*
* This program is distributed in the hope that it will be useful,
* but WITHOUT ANY WARRANTY; without even the implied warranty of
* MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
* GNU General Public License for more details.
*
* You should have received a copy of the GNU General Public License
* along with this program; if not, write to the Free Software
* Foundation, Inc., 59 Temple Place, Suite 330, Boston, MA 02111-1307, USA.
*
* Authors: Christian Paminger <christian.paminger@technikum-wien.at>,
* Andreas Oesterreicher <andreas.oesterreicher@technikum-wien.at> and
* Rudolf Hangl <rudolf.hangl@technikum-wien.at>.
*/
// *********************************************
// * Datenbankschnittstelle fuer FAS und Tempus
// *********************************************
require_once('../config/vilesci.config.inc.php');
require_once('../include/functions.inc.php');
require_once('../include/benutzerberechtigung.class.php');
require_once('../include/log.class.php');
require_once('../include/benutzerfunktion.class.php');
require_once('../include/stundenplan.class.php');
require_once('../include/studiengang.class.php');
require_once('../include/reservierung.class.php');
$user = get_uid();
error_reporting(0);
$return = false;
$errormsg = 'unknown';
$data = '';
$error = false;
//Berechtigungen laden
$rechte = new benutzerberechtigung();
$rechte->getBerechtigungen($user);
if(!$rechte->isBerechtigt('admin') && !$rechte->isBerechtigt('assistenz') && !$rechte->isBerechtigt('lv-plan'))
{
$return = false;
$errormsg = 'Keine Berechtigung';
$data = '';
$error = true;
}
if(!$error)
{
if(isset($_POST['type']) && $_POST['type']=='undo')
{
//UNDO Befehl ausfuehren
if (!isset($_POST['log_id']))
{
$return = false;
$errormsg = 'Fehlerhafte Parameteruebergabe';
$data = '';
$error = true;
}
if(!$error)
{
$log = new log();
if($log->undo($_POST['log_id']))
{
$return = true;
}
else
{
$return = false;
$errormsg = 'Fehler bei UnDo:'.$log->errormsg;
}
}
}
elseif (isset($_POST['type']) && $_POST['type']=='addFunktionToMitarbeiter')
{
//Fuegt eine Lkt Funktion zu einem Studiengang/Mitarbeiter hinzu
if(isset($_POST['uid']) && isset($_POST['studiengang_kz']))
{
if(!$rechte->isBerechtigt('admin', $_POST['studiengang_kz'],'suid') &&
!$rechte->isBerechtigt('assistenz', $_POST['studiengang_kz'],'suid'))
{
$return = false;
$error = true;
$errormsg = 'keine Berechtigung';
}
else
{
$stg = new studiengang($_POST['studiengang_kz']);
$obj = new benutzerfunktion();
$obj->uid = $_POST['uid'];
$obj->oe_kurzbz = $stg->oe_kurzbz;
$obj->funktion_kurzbz = 'lkt';
$obj->updateamum = date('Y-m-d H:i:s');
$obj->updatevon = $user;
$obj->insertamum = date('Y-m-d H:i:s');
$obj->insertvon = $user;
if($obj->save(true))
{
$return = true;
}
else
{
$return = false;
$errormsg = $obj->errormsg;
}
}
}
else
{
$return = false;
$errormsg = 'Fehlerhafte Parameteruebergabe';
}
}
elseif (isset($_POST['type']) && $_POST['type']=='delFunktionFromMitarbeiter')
{
//Loescht eine Lektorfunktion
if(isset($_POST['uid']) && isset($_POST['studiengang_kz']))
{
if(!$rechte->isBerechtigt('admin', $_POST['studiengang_kz'],'suid') &&
!$rechte->isBerechtigt('assistenz', $_POST['studiengang_kz'],'suid'))
{
$return = false;
$error = true;
$errormsg = 'keine Berechtigung';
}
else
{
$obj = new benutzerfunktion();
$stg_obj = new studiengang($_POST['studiengang_kz']);
//Benutzerfunktion suchen
if($obj->getBenutzerFunktion($_POST['uid'], 'lkt', $stg_obj->oe_kurzbz))
{
//Benutzerfunktion loeschen
if($obj->delete($obj->benutzerfunktion_id))
{
$return = true;
}
else
{
$return = false;
$errormsg = $obj->errormsg;
}
}
else
{
$return = false;
$errormsg = $obj->errormsg;
}
}
}
else
{
$return = false;
$errormsg = 'Fehler bei Parameteruebergabe';
}
}
elseif(isset($_POST['type']) && $_POST['type']=='deletestundenplaneintrag')
{
if(!$rechte->isBerechtigt('lv-plan', null, 'suid') && !$rechte->isBerechtigt('admin', null, 'suid') )
{
$return = false;
$error = true;
$errormsg = 'keine Berechtigung';
}
else
{
//Loescht einen Eintrag aus der Stundenplantabelle
loadVariables(get_uid());
if(isset($_POST['stundenplan_id']) && is_numeric($_POST['stundenplan_id']))
{
$stundenplan = new stundenplan($db_stpl_table);
if($stundenplan->delete($_POST['stundenplan_id']))
{
$return = true;
}
else
{
$errormsg='Fehler beim Loeschen: '.$stundenplan->errormsg;
$return = false;
$data = '';
}
}
else
{
$return = false;
$errormsg = 'ID ist ungueltig';
}
}
}
elseif(isset($_POST['type']) && $_POST['type']=='deletereservierung')
{
if(!$rechte->isBerechtigt('lv-plan', null, 'suid') && !$rechte->isBerechtigt('admin', null, 'suid') )
{
$return = false;
$error = true;
$errormsg = 'keine Berechtigung';
}
else
{
//Loescht eine Reservierung
if(isset($_POST['reservierung_id']) && is_numeric($_POST['reservierung_id']))
{
$reservierung = new reservierung();
if($reservierung->delete($_POST['reservierung_id']))
{
$return = true;
}
else
{
$errormsg='Fehler beim Loeschen: '.$reservierung->errormsg;
$return = false;
$data = '';
}
}
else
{
$return = false;
$errormsg = 'ID ist ungueltig';
}
}
}
elseif(isset($_POST['type']) && $_POST['type']=='savestundenplaneintrag')
{
if(!$rechte->isBerechtigt('lv-plan', null, 'suid') && !$rechte->isBerechtigt('admin', null, 'suid') )
{
$return = false;
$error = true;
$errormsg = 'keine Berechtigung';
}
else
{
loadVariables(get_uid());
$stundenplan = new stundenplan($db_stpl_table);
if($stundenplan->load($_POST['stundenplan_id']))
{
$stundenplan->unr = $_POST['unr'];
$stundenplan->verband = $_POST['verband'];
$stundenplan->gruppe = $_POST['gruppe'];
$stundenplan->gruppe_kurzbz = $_POST['gruppe_kurzbz'];
$stundenplan->ort_kurzbz = $_POST['ort_kurzbz'];
$stundenplan->datum = $_POST['datum'];
$stundenplan->stunde = $_POST['stunde'];
$stundenplan->titel = htmlspecialchars_decode($_POST['titel']);
$stundenplan->anmerkung = htmlspecialchars_decode($_POST['anmerkung']);
$stundenplan->fix = ($_POST['fix']=='true'?true:false);
$stundenplan->mitarbeiter_uid = $_POST['mitarbeiter_uid'];
$stundenplan->updateamum = date('Y-m-d H:i:s');
$stundenplan->updatevon = get_uid();
$stundenplan->semester = $_POST['semester'];
if($stundenplan->save(false))
{
$return = true;
}
else
{
$return = false;
$errormsg = 'Fehler beim Speichern der Daten:'.$stundenplan->errormsg;
}
}
else
{
$errormsg = 'Fehler beim Laden: '.$stundenplan->errormsg;
$return = false;
}
}
}
else
{
$return = false;
$errormsg = 'Unkown type';
$data = '';
}
}
echo '<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<RDF:RDF
xmlns:RDF="http://www.w3.org/1999/02/22-rdf-syntax-ns#"
xmlns:NC="http://home.netscape.com/NC-rdf#"
xmlns:DBDML="http://www.technikum-wien.at/dbdml/rdf#"
>
<RDF:Seq RDF:about="http://www.technikum-wien.at/dbdml/msg">
<RDF:li>
<RDF:Description RDF:about="http://www.technikum-wien.at/dbdml/0" >
<DBDML:return>'.($return?'true':'false').'</DBDML:return>
<DBDML:errormsg><![CDATA['.$errormsg.']]></DBDML:errormsg>
<DBDML:data><![CDATA['.$data.']]></DBDML:data>
</RDF:Description>
</RDF:li>
</RDF:Seq>
</RDF:RDF>
';
?>
Reference in New Issue View Git Blame Copy Permalink