MDL-21655 improved access control
[moodle.git] / admin / roles / permissions.php
1 <?php
3 // This file is part of Moodle - http://moodle.org/
4 //
5 // Moodle is free software: you can redistribute it and/or modify
6 // it under the terms of the GNU General Public License as published by
7 // the Free Software Foundation, either version 3 of the License, or
8 // (at your option) any later version.
9 //
10 // Moodle is distributed in the hope that it will be useful,
11 // but WITHOUT ANY WARRANTY; without even the implied warranty of
12 // MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
13 // GNU General Public License for more details.
14 //
15 // You should have received a copy of the GNU General Public License
16 // along with Moodle.  If not, see <http://www.gnu.org/licenses/>.
18 /**
19  * This script serves draft files of current user
20  *
21  * @package    moodlecore
22  * @subpackage role
23  * @copyright  2009 Petr Skoda (skodak) info@skodak.org
24  * @license    http://www.gnu.org/copyleft/gpl.html GNU GPL v3 or later
25  */
27 require('../../config.php');
28 require_once("$CFG->dirroot/$CFG->admin/roles/lib.php");
29 require_once("permissions_forms.php");
31 $contextid  = required_param('contextid',PARAM_INT);
33 $roleid     = optional_param('roleid', 0, PARAM_INT);
34 $capability = optional_param('capability', false, PARAM_CAPABILITY);
35 $confirm    = optional_param('confirm', 0, PARAM_BOOL);
36 $prevent    = optional_param('prevent', 0, PARAM_BOOL);
37 $allow      = optional_param('allow', 0, PARAM_BOOL);
38 $unprohibit = optional_param('unprohibit', 0, PARAM_BOOL);
39 $prohibit   = optional_param('prohibit', 0, PARAM_BOOL);
41 list($context, $course, $cm) = get_context_info_array($contextid);
43 $PAGE->set_url('/admin/roles/permissions.php', array('contextid' => $contextid));
44 $PAGE->set_context($context);
46 $userid  = 0;
47 $tabfile = null;
49 if ($course) {
50     $isfrontpage = ($context->contextlevel == CONTEXT_COURSE and $context->instanceid == SITEID);
52 } else {
53     $isfrontpage = false;
54     if ($context->contextlevel == CONTEXT_USER) {
55         $courseid = optional_param('courseid', SITEID, PARAM_INT); // needed for user/tabs.php
56         $course = $DB->get_record('course', array('id'=>$courseid), '*', MUST_EXIST);
57         $PAGE->url->param('courseid', $courseid);
58         $userid = $context->instanceid;
59     } else {
60         $course = $SITE;
61     }
62 }
64 // security first
65 require_login($course, false, $cm);
66 require_capability('moodle/role:review', $context);
68 $courseid = $course->id;
71 // These are needed early because of tabs.php
72 $assignableroles = get_assignable_roles($context, ROLENAME_BOTH);
73 list($overridableroles, $overridecounts, $nameswithcounts) = get_overridable_roles($context, ROLENAME_BOTH, true);
75 if ($capability) {
76     $capability = $DB->get_record('capabilities', array('name'=>$capability), '*', MUST_EXIST);
77 }
79 $allowoverrides     = has_capability('moodle/role:override', $context);
80 $allowsafeoverrides = has_capability('moodle/role:safeoverride', $context);
82 $contextname = print_context_name($context);
83 $title = get_string('permissionsincontext', 'role', $contextname);
84 $straction = get_string('permissions', 'role'); // Used by tabs.php
85 $PAGE->set_title($title);
87 // Print the header and tabs
88 if ($context->contextlevel == CONTEXT_SYSTEM) {
89     print_error('cannotoverridebaserole', 'error');
91 } else if ($context->contextlevel == CONTEXT_USER) {
92     // NOTE: this is not linked from UI for now
93     $userid = $context->instanceid;
94     $user = $DB->get_record('user', array('id'=>$userid, 'deleted'=>0), '*', MUST_EXIST);
95     $fullname = fullname($user, has_capability('moodle/site:viewfullnames', $context));
97     // course header
98     if ($isfrontpage) {
99         $PAGE->set_heading($course->fullname);
100     } else {
101         if (has_capability('moodle/course:viewparticipants', get_context_instance(CONTEXT_COURSE, $courseid))) {
102             $PAGE->navbar->add(get_string('participants'), new moodle_url('/user/index.php', array('id'=>$courseid)));
103         }
104         $PAGE->set_heading($fullname);
105     }
106     $PAGE->navbar->add($fullname, new moodle_url("$CFG->wwwroot/user/view.php", array('id'=>$userid,'course'=>$courseid)));
107     $PAGE->navbar->add($straction);
109     $showroles = 1;
110     $currenttab = 'permissions';
111     $tabfile = $CFG->dirroot.'/user/tabs.php';
113 } else if ($isfrontpage) {
114     admin_externalpage_setup('frontpageroles', '', array(), $PAGE->url);
115     $currenttab = 'permissions';
116     $tabfile = 'tabs.php';
118 } else {
119     $currenttab = 'permissions';
120     $tabfile = 'tabs.php';
123 // handle confirmations and actions
124 if ($prevent and isset($overridableroles[$roleid]) and $capability) {
125     if ($allowoverrides or ($allowsafeoverrides and is_safe_capability($capability))) {
126         if ($confirm and data_submitted() and confirm_sesskey()) {
127             role_change_permission($roleid, $context, $capability->name, CAP_PREVENT);
128             redirect($PAGE->url);
130         } else {
131             $a = (object)array('cap'=>get_capability_docs_link($capability)." ($capability->name)", 'role'=>$overridableroles[$roleid], 'context'=>$contextname);
132             $message = get_string('confirmroleprevent', 'role', $a);
133             $continueurl = new moodle_url($PAGE->url, array('contextid'=>$context->id, 'roleid'=>$roleid, 'capability'=>$capability->name, 'prevent'=>1, 'sesskey'=>sesskey(), 'confirm'=>1));
135             echo $OUTPUT->header();
136             if ($tabfile) {
137                 include($tabfile);
138             }
139             echo $OUTPUT->heading($title);
140             echo $OUTPUT->confirm($message, $continueurl, $PAGE->url);
141             echo $OUTPUT->footer();
142             die;
143         }
144     }
147 if ($unprohibit and isset($overridableroles[$roleid]) and $capability) {
148     if ($allowoverrides or ($allowsafeoverrides and is_safe_capability($capability))) {
149         if ($confirm and data_submitted() and confirm_sesskey()) {
150             role_change_permission($roleid, $context, $capability->name, CAP_INHERIT);
151             redirect($PAGE->url);
153         } else {
154             $a = (object)array('cap'=>get_capability_docs_link($capability)." ($capability->name)", 'role'=>$overridableroles[$roleid], 'context'=>$contextname);
155             $message = get_string('confirmroleunprohibit', 'role', $a);
156             $continueurl = new moodle_url($PAGE->url, array('contextid'=>$context->id, 'roleid'=>$roleid, 'capability'=>$capability->name, 'unprohibit'=>1, 'sesskey'=>sesskey(), 'confirm'=>1));
158             echo $OUTPUT->header();
159             if ($tabfile) {
160                 include($tabfile);
161             }
162             echo $OUTPUT->heading($title);
163             echo $OUTPUT->confirm($message, $continueurl, $PAGE->url);
164             echo $OUTPUT->footer();
165             die;
166         }
167     }
170 if ($allow and $capability) {
171     if ($allowoverrides or ($allowsafeoverrides and is_safe_capability($capability))) {
172         $mform = new role_allow_form(null, array($context, $capability, $overridableroles));
173         if ($mform->is_cancelled()) {
174             redirect($PAGE->url);
176         } else if ($data = $mform->get_data() and !empty($data->roleid)) {
177             $roleid = $data->roleid;
178             if (isset($overridableroles[$roleid])) {
179                 role_change_permission($roleid, $context, $capability->name, CAP_ALLOW);
180             }
181             redirect($PAGE->url);
183         } else {
184             $a = (object)array('cap'=>get_capability_docs_link($capability)." ($capability->name)", 'context'=>$contextname);
185             $message = get_string('roleallowinfo', 'role', $a);
187             echo $OUTPUT->header();
188             if ($tabfile) {
189                 include($tabfile);
190             }
191             echo $OUTPUT->heading($title);
192             echo $OUTPUT->box($message);
193             $mform->display();
194             echo $OUTPUT->footer();
195             die;
196         }
197     }
200 if ($prohibit and $capability) {
201     if ($allowoverrides or ($allowsafeoverrides and is_safe_capability($capability))) {
202         $mform = new role_prohibit_form(null, array($context, $capability, $overridableroles));
203         if ($mform->is_cancelled()) {
204             redirect($PAGE->url);
206         } else if ($data = $mform->get_data() and !empty($data->roleid)) {
207             $roleid = $data->roleid;
208             if (isset($overridableroles[$roleid])) {
209                 role_change_permission($roleid, $context, $capability->name, CAP_PROHIBIT);
210             }
211             redirect($PAGE->url);
213         } else {
214             $a = (object)array('cap'=>get_capability_docs_link($capability)." ($capability->name)", 'context'=>$contextname);
215             $message = get_string('roleprohibitinfo', 'role', $a);
217             echo $OUTPUT->header();
218             if ($tabfile) {
219                 include($tabfile);
220             }
221             echo $OUTPUT->box($message);
222             $mform->display();
223             echo $OUTPUT->footer();
224             die;
225         }
226     }
229 echo $OUTPUT->header();
230 if ($tabfile) {
231     include($tabfile);
233 echo $OUTPUT->heading($title);
235 $table = new permissions_table($context, $contextname, $allowoverrides, $allowsafeoverrides, $overridableroles);
236 echo $OUTPUT->box_start('generalbox capbox');
237 // print link to advanced override page
238 if ($overridableroles) {
239     $overrideurl = new moodle_url('/admin/roles/override.php', array('contextid' => $context->id));
240     $select = new single_select($overrideurl, 'roleid', $nameswithcounts);
241     $select->label = get_string('advancedoverride', 'role');
242     echo '<div class="advancedoverride">'.$OUTPUT->render($select).'</div>';
244 $table->display();
245 echo $OUTPUT->box_end();
248 if ($context->contextlevel > CONTEXT_USER) {
249     echo '<div class="backlink"><a href="' . get_context_url($context) . '">' . get_string('backto', '', $contextname) . '</a></div>';
252 echo $OUTPUT->footer($course);