MDL-69431 course: validate section url param against maxsections
[moodle.git] / course / modedit.php
1 <?php
3 // This file is part of Moodle - http://moodle.org/
4 //
5 // Moodle is free software: you can redistribute it and/or modify
6 // it under the terms of the GNU General Public License as published by
7 // the Free Software Foundation, either version 3 of the License, or
8 // (at your option) any later version.
9 //
10 // Moodle is distributed in the hope that it will be useful,
11 // but WITHOUT ANY WARRANTY; without even the implied warranty of
12 // MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
13 // GNU General Public License for more details.
14 //
15 // You should have received a copy of the GNU General Public License
16 // along with Moodle.  If not, see <http://www.gnu.org/licenses/>.
18 /**
19 * Adds or updates modules in a course using new formslib
20 *
21 * @package    moodlecore
22 * @copyright  1999 onwards Martin Dougiamas (http://dougiamas.com)
23 * @license    http://www.gnu.org/copyleft/gpl.html GNU GPL v3 or later
24 */
26 require_once("../config.php");
27 require_once("lib.php");
28 require_once($CFG->libdir.'/filelib.php');
29 require_once($CFG->libdir.'/gradelib.php');
30 require_once($CFG->libdir.'/completionlib.php');
31 require_once($CFG->libdir.'/plagiarismlib.php');
32 require_once($CFG->dirroot . '/course/modlib.php');
34 $add    = optional_param('add', '', PARAM_ALPHANUM);     // Module name.
35 $update = optional_param('update', 0, PARAM_INT);
36 $return = optional_param('return', 0, PARAM_BOOL);    //return to course/view.php if false or mod/modname/view.php if true
37 $type   = optional_param('type', '', PARAM_ALPHANUM); //TODO: hopefully will be removed in 2.0
38 $sectionreturn = optional_param('sr', null, PARAM_INT);
40 $url = new moodle_url('/course/modedit.php');
41 $url->param('sr', $sectionreturn);
42 if (!empty($return)) {
43     $url->param('return', $return);
44 }
46 if (!empty($add)) {
47     $section = required_param('section', PARAM_INT);
48     $course  = required_param('course', PARAM_INT);
50     $url->param('add', $add);
51     $url->param('section', $section);
52     $url->param('course', $course);
53     $PAGE->set_url($url);
55     $course = $DB->get_record('course', array('id'=>$course), '*', MUST_EXIST);
56     require_login($course);
58     // There is no page for this in the navigation. The closest we'll have is the course section.
59     // If the course section isn't displayed on the navigation this will fall back to the course which
60     // will be the closest match we have.
61     navigation_node::override_active_url(course_get_url($course, $section));
63     // MDL-69431 Validate that $section (url param) does not exceed the maximum for this course / format.
64     // If too high (e.g. section *id* not number) non-sequential sections inserted in course_sections table.
65     // Then on import, backup fills 'gap' with empty sections (see restore_rebuild_course_cache). Avoid this.
66     $courseformat = course_get_format($course);
67     $maxsections = $courseformat->get_max_sections();
68     if ($section > $maxsections) {
69         print_error('maxsectionslimit', 'moodle', '', $maxsections);
70     }
72     list($module, $context, $cw, $cm, $data) = prepare_new_moduleinfo_data($course, $add, $section);
73     $data->return = 0;
74     $data->sr = $sectionreturn;
75     $data->add = $add;
76     if (!empty($type)) { //TODO: hopefully will be removed in 2.0
77         $data->type = $type;
78     }
80     $sectionname = get_section_name($course, $cw);
81     $fullmodulename = get_string('modulename', $module->name);
83     if ($data->section && $course->format != 'site') {
84         $heading = new stdClass();
85         $heading->what = $fullmodulename;
86         $heading->to   = $sectionname;
87         $pageheading = get_string('addinganewto', 'moodle', $heading);
88     } else {
89         $pageheading = get_string('addinganew', 'moodle', $fullmodulename);
90     }
91     $navbaraddition = $pageheading;
93 } else if (!empty($update)) {
95     $url->param('update', $update);
96     $PAGE->set_url($url);
98     // Select the "Edit settings" from navigation.
99     navigation_node::override_active_url(new moodle_url('/course/modedit.php', array('update'=>$update, 'return'=>1)));
101     // Check the course module exists.
102     $cm = get_coursemodule_from_id('', $update, 0, false, MUST_EXIST);
104     // Check the course exists.
105     $course = $DB->get_record('course', array('id'=>$cm->course), '*', MUST_EXIST);
107     // require_login
108     require_login($course, false, $cm); // needed to setup proper $COURSE
110     list($cm, $context, $module, $data, $cw) = get_moduleinfo_data($cm, $course);
111     $data->return = $return;
112     $data->sr = $sectionreturn;
113     $data->update = $update;
115     $sectionname = get_section_name($course, $cw);
116     $fullmodulename = get_string('modulename', $module->name);
118     if ($data->section && $course->format != 'site') {
119         $heading = new stdClass();
120         $heading->what = $fullmodulename;
121         $heading->in   = $sectionname;
122         $pageheading = get_string('updatingain', 'moodle', $heading);
123     } else {
124         $pageheading = get_string('updatinga', 'moodle', $fullmodulename);
125     }
126     $navbaraddition = null;
128 } else {
129     require_login();
130     print_error('invalidaction');
133 $pagepath = 'mod-' . $module->name . '-';
134 if (!empty($type)) { //TODO: hopefully will be removed in 2.0
135     $pagepath .= $type;
136 } else {
137     $pagepath .= 'mod';
139 $PAGE->set_pagetype($pagepath);
140 $PAGE->set_pagelayout('admin');
142 $modmoodleform = "$CFG->dirroot/mod/$module->name/mod_form.php";
143 if (file_exists($modmoodleform)) {
144     require_once($modmoodleform);
145 } else {
146     print_error('noformdesc');
149 $mformclassname = 'mod_'.$module->name.'_mod_form';
150 $mform = new $mformclassname($data, $cw->section, $cm, $course);
151 $mform->set_data($data);
153 if ($mform->is_cancelled()) {
154     if ($return && !empty($cm->id)) {
155         $urlparams = [
156             'id' => $cm->id, // We always need the activity id.
157             'forceview' => 1, // Stop file downloads in resources.
158         ];
159         $activityurl = new moodle_url("/mod/$module->name/view.php", $urlparams);
160         redirect($activityurl);
161     } else {
162         redirect(course_get_url($course, $cw->section, array('sr' => $sectionreturn)));
163     }
164 } else if ($fromform = $mform->get_data()) {
165     if (!empty($fromform->update)) {
166         list($cm, $fromform) = update_moduleinfo($cm, $fromform, $course, $mform);
167     } else if (!empty($fromform->add)) {
168         $fromform = add_moduleinfo($fromform, $course, $mform);
169     } else {
170         print_error('invaliddata');
171     }
173     if (isset($fromform->submitbutton)) {
174         $url = new moodle_url("/mod/$module->name/view.php", array('id' => $fromform->coursemodule, 'forceview' => 1));
175         if (empty($fromform->showgradingmanagement)) {
176             redirect($url);
177         } else {
178             redirect($fromform->gradingman->get_management_url($url));
179         }
180     } else {
181         redirect(course_get_url($course, $cw->section, array('sr' => $sectionreturn)));
182     }
183     exit;
185 } else {
187     $streditinga = get_string('editinga', 'moodle', $fullmodulename);
188     $strmodulenameplural = get_string('modulenameplural', $module->name);
190     if (!empty($cm->id)) {
191         $context = context_module::instance($cm->id);
192     } else {
193         $context = context_course::instance($course->id);
194     }
196     $PAGE->set_heading($course->fullname);
197     $PAGE->set_title($streditinga);
198     $PAGE->set_cacheable(false);
200     if (isset($navbaraddition)) {
201         $PAGE->navbar->add($navbaraddition);
202     }
204     echo $OUTPUT->header();
206     if (get_string_manager()->string_exists('modulename_help', $module->name)) {
207         echo $OUTPUT->heading_with_help($pageheading, 'modulename', $module->name, 'icon');
208     } else {
209         echo $OUTPUT->heading_with_help($pageheading, '', $module->name, 'icon');
210     }
212     $mform->display();
214     echo $OUTPUT->footer();