MDL-24081 completion Fixing sql injections and use of sql_ilike()
[moodle.git] / course / report / progress / index.php
1 <?php
2 require_once('../../../config.php');
3 require_once($CFG->libdir . '/completionlib.php');
5 define('COMPLETION_REPORT_PAGE', 25);
7 // Get course
8 $id = required_param('course',PARAM_INT);
9 $course=$DB->get_record('course',array('id'=>$id));
10 if(!$course) {
11     print_error('invalidcourseid');
12 }
14 // Sort (default lastname, optionally firstname)
15 $sort = optional_param('sort','',PARAM_ALPHA);
16 $firstnamesort = $sort == 'firstname';
18 // CSV format
19 $format = optional_param('format','',PARAM_ALPHA);
20 $excel = $format == 'excelcsv';
21 $csv = $format == 'csv' || $excel;
23 // Paging
24 $start   = optional_param('start', 0, PARAM_INT);
25 $sifirst = optional_param('sifirst', 'all', PARAM_ALPHA);
26 $silast  = optional_param('silast', 'all', PARAM_ALPHA);
27 $start = optional_param('start',0,PARAM_INT);
29 // Whether to show idnumber
30 // TODO: This should really not be using a config option 'intended' for
31 // gradebook, but that option is also used in quiz reports as well. There ought
32 // to be a generic option somewhere.
33 $idnumbers = $CFG->grade_report_showuseridnumber;
35 function csv_quote($value) {
36     global $excel;
37     if($excel) {
38         $tl=textlib_get_instance();
39         return $tl->convert('"'.str_replace('"',"'",$value).'"','UTF-8','UTF-16LE');
40     } else {
41         return '"'.str_replace('"',"'",$value).'"';
42     }
43 }
45 $url = new moodle_url('/course/report/progress/index.php', array('course'=>$id));
46 if ($sort !== '') {
47     $url->param('sort', $sort);
48 }
49 if ($format !== '') {
50     $url->param('format', $format);
51 }
52 if ($start !== 0) {
53     $url->param('start', $start);
54 }
55 $PAGE->set_url($url);
56 $PAGE->set_pagelayout('admin');
58 require_login($course);
60 // Check basic permission
61 $context=get_context_instance(CONTEXT_COURSE,$course->id);
62 require_capability('coursereport/progress:view',$context);
64 // Get group mode
65 $group=groups_get_course_group($course,true); // Supposed to verify group
66 if($group===0 && $course->groupmode==SEPARATEGROUPS) {
67     require_capability('moodle/site:accessallgroups',$context);
68 }
70 // Get data on activities and progress of all users, and give error if we've
71 // nothing to display (no users or no activities)
72 $reportsurl=$CFG->wwwroot.'/course/report.php?id='.$course->id;
73 $completion=new completion_info($course);
74 $activities=$completion->get_activities();
75 if(count($activities)==0) {
76     print_error('err_noactivities','completion',$reportsurl);
77 }
79 // Generate where clause
80 $where = array();
81 $where_params = array();
83 if ($sifirst !== 'all') {
84     $where[] = $DB->sql_like('u.firstname', ':sifirst', false);
85     $where_params['sifirst'] = $sifirst.'%';
86 }
88 if ($silast !== 'all') {
89     $where[] = $DB->sql_like('u.lastname', ':silast', false);
90     $where_params['silast'] = $silast.'%';
91 }
93 // Get user match count
94 $total = $completion->get_num_tracked_users(implode(' AND ', $where), $where_params, $group);
96 // Total user count
97 $grandtotal = $completion->get_num_tracked_users('', array(), $group);
99 // If no users in this course what-so-ever
100 if (!$grandtotal) {
101     print_box_start('errorbox errorboxcontent boxaligncenter boxwidthnormal');
102     print '<p class="nousers">'.get_string('err_nousers','completion').'</p>';
103     print '<p><a href="'.$CFG->wwwroot.'/course/report.php?id='.$course->id.'">'.get_string('continue').'</a></p>';
104     print_box_end();
105     print_footer($course);
106     exit;
109 // Get user data
110 $progress = array();
112 if ($total) {
113     $progress = $completion->get_progress_all(
114         implode(' AND ', $where),
115         $where_params,
116         $group,
117         $firstnamesort ? 'u.firstname ASC' : 'u.lastname ASC',
118         $csv ? 0 : COMPLETION_REPORT_PAGE,
119         $csv ? 0 : $start
120     );
123 if($csv) {
124     header('Content-Disposition: attachment; filename=progress.'.
125         preg_replace('/[^a-z0-9-]/','_',strtolower($course->shortname)).'.csv');
126     // Unicode byte-order mark for Excel
127     if($excel) {
128         header('Content-Type: text/csv; charset=UTF-16LE');
129         print chr(0xFF).chr(0xFE);
130         $sep="\t".chr(0);
131         $line="\n".chr(0);
132     } else {
133         header('Content-Type: text/csv; charset=UTF-8');
134         $sep=",";
135         $line="\n";
136     }
137 } else {
138     // Use SVG to draw sideways text if supported
139     $svgcleverness = can_use_rotated_text();
141     // Navigation and header
142     $strreports = get_string("reports");
143     $strcompletion = get_string('completionreport','completion');
145     $PAGE->set_title($strcompletion);
146     $PAGE->set_heading($course->fullname);
147     echo $OUTPUT->header();
149     if($svgcleverness) {
150         $PAGE->requires->yui2_lib('event');
151         $PAGE->requires->js('/course/report/progress/textrotate.js');
152     }
154     // Handle groups (if enabled)
155     groups_print_course_menu($course,$CFG->wwwroot.'/course/report/progress/?course='.$course->id);
158 // Build link for paging
159 $link = $CFG->wwwroot.'/course/report/progress/?course='.$course->id;
160 if (strlen($sort)) {
161     $link .= '&amp;sort='.$sort;
163 $link .= '&amp;start=';
165 // Build the the page by Initial bar
166 $initials = array('first', 'last');
167 $alphabet = explode(',', get_string('alphabet', 'langconfig'));
169 $pagingbar = '';
170 foreach ($initials as $initial) {
171     $var = 'si'.$initial;
173     $pagingbar .= ' <div class="initialbar '.$initial.'initial">';
174     $pagingbar .= get_string($initial.'name').':&nbsp;';
176     if ($$var == 'all') {
177         $pagingbar .= '<strong>'.get_string('all').'</strong> ';
178     }
179     else {
180         $pagingbar .= '<a href="'.$link.'">'.get_string('all').'</a> ';
181     }
183     foreach ($alphabet as $letter) {
184         if ($$var === $letter) {
185             $pagingbar .= '<strong>'.$letter.'</strong> ';
186         }
187         else {
188             $pagingbar .= '<a href="'.$link.'&amp;'.$var.'='.$letter.'">'.$letter.'</a> ';
189         }
190     }
192     $pagingbar .= '</div>';
195 // Do we need a paging bar?
196 if($total > COMPLETION_REPORT_PAGE) {
198     // Paging bar
199     $pagingbar .= '<div class="paging">';
200     $pagingbar .= get_string('page').': ';
202     // Display previous link
203     if ($start > 0) {
204         $pstart = max($start - COMPLETION_REPORT_PAGE, 0);
205         $pagingbar .= '(<a class="previous" href="'.$link.$pstart.'">'.get_string('previous').'</a>)&nbsp;';
206     }
208     // Create page links
209     $curstart = 0;
210     $curpage = 0;
211     while ($curstart < $total) {
212         $curpage++;
214         if ($curstart == $start) {
215             $pagingbar .= '&nbsp;'.$curpage.'&nbsp;';
216         }
217         else {
218             $pagingbar .= '&nbsp;<a href="'.$link.$curstart.'">'.$curpage.'</a>&nbsp;';
219         }
221         $curstart += COMPLETION_REPORT_PAGE;
222     }
224     // Display next link
225     $nstart = $start + COMPLETION_REPORT_PAGE;
226     if ($nstart < $total) {
227         $pagingbar .= '&nbsp;(<a class="next" href="'.$link.$nstart.'">'.get_string('next').'</a>)';
228     }
230     $pagingbar .= '</div>';
233 // Okay, let's draw the table of progress info,
235 // Start of table
236 if(!$csv) {
237     print '<br class="clearer"/>'; // ugh
239     print $pagingbar;
241     if (!$total) {
242         print_heading(get_string('nothingtodisplay'));
243         print_footer($course);
244         exit;
245     }
247     print '<table id="completion-progress" class="generaltable flexible boxaligncenter" style="text-align:left"><tr style="vertical-align:top">';
249     // User heading / sort option
250     print '<th scope="col" class="completion-sortchoice">';
251     if($firstnamesort) {
252         print
253             get_string('firstname').' / <a href="./?course='.$course->id.'">'.
254             get_string('lastname').'</a>';
255     } else {
256         print '<a href="./?course='.$course->id.'&amp;sort=firstname">'.
257             get_string('firstname').'</a> / '.
258             get_string('lastname');
259     }
260     print '</th>';
262     if($idnumbers) {
263         print '<th>'.get_string('idnumber').'</th>';
264     }
266 } else {
267     if($idnumbers) {
268         print $sep;
269     }
272 // Activities
273 foreach($activities as $activity) {
274     $activity->datepassed = $activity->completionexpected && $activity->completionexpected <= time();
275     $activity->datepassedclass=$activity->datepassed ? 'completion-expired' : '';
277     if($activity->completionexpected) {
278         $datetext=userdate($activity->completionexpected,get_string('strftimedate','langconfig'));
279     } else {
280         $datetext='';
281     }
283     // Some names (labels) come URL-encoded and can be very long, so shorten them
284     $activity->name = shorten_text($activity->name);
286     if($csv) {
287         print $sep.csv_quote(strip_tags($activity->name)).$sep.csv_quote($datetext);
288     } else {
289         print '<th scope="col" class="'.$activity->datepassedclass.'">'.
290             '<a href="'.$CFG->wwwroot.'/mod/'.$activity->modname.
291             '/view.php?id='.$activity->id.'">'.
292             '<img src="'.$OUTPUT->pix_url('icon', $activity->modname).'" alt="'.
293             get_string('modulename',$activity->modname).'" /> <span class="completion-activityname">'.
294             format_string($activity->name).'</span></a>';
295         if($activity->completionexpected) {
296             print '<div class="completion-expected"><span>'.$datetext.'</span></div>';
297         }
298         print '</th>';
299     }
302 if($csv) {
303     print $line;
304 } else {
305     print '</tr>';
308 // Row for each user
309 foreach($progress as $user) {
310     // User name
311     if($csv) {
312         print csv_quote(fullname($user));
313         if($idnumbers) {
314             print $sep.csv_quote($user->idnumber);
315         }
316     } else {
317         print '<tr><th scope="row"><a href="'.$CFG->wwwroot.'/user/view.php?id='.
318             $user->id.'&amp;course='.$course->id.'">'.fullname($user).'</a></th>';
319         if($idnumbers) {
320             print '<td>'.htmlspecialchars($user->idnumber).'</td>';
321         }
322     }
324     // Progress for each activity
325     foreach($activities as $activity) {
327         // Get progress information and state
328         if(array_key_exists($activity->id,$user->progress)) {
329             $thisprogress=$user->progress[$activity->id];
330             $state=$thisprogress->completionstate;
331             $date=userdate($thisprogress->timemodified);
332         } else {
333             $state=COMPLETION_INCOMPLETE;
334             $date='';
335         }
337         // Work out how it corresponds to an icon
338         switch($state) {
339             case COMPLETION_INCOMPLETE : $completiontype='n'; break;
340             case COMPLETION_COMPLETE : $completiontype='y'; break;
341             case COMPLETION_COMPLETE_PASS : $completiontype='pass'; break;
342             case COMPLETION_COMPLETE_FAIL : $completiontype='fail'; break;
343         }
345         $completionicon='completion-'.
346             ($activity->completion==COMPLETION_TRACKING_AUTOMATIC ? 'auto' : 'manual').
347             '-'.$completiontype;
349         $describe=get_string('completion-alt-auto-'.$completiontype,'completion');
350         $a=new StdClass;
351         $a->state=$describe;
352         $a->date=$date;
353         $a->user=fullname($user);
354         $a->activity=strip_tags($activity->name);
355         $fulldescribe=get_string('progress-title','completion',$a);
357         if($csv) {
358             print $sep.csv_quote($describe).$sep.csv_quote($date);
359         } else {
360             print '<td class="completion-progresscell '.$activity->datepassedclass.'">'.
361                 '<img src="'.$OUTPUT->pix_url('i/'.$completionicon).
362                 '" alt="'.$describe.'" title="'.$fulldescribe.'" /></td>';
363         }
364     }
366     if($csv) {
367         print $line;
368     } else {
369         print '</tr>';
370     }
373 if($csv) {
374     exit;
376 print '</table>';
377 print $pagingbar;
379 print '<ul class="progress-actions"><li><a href="index.php?course='.$course->id.
380     '&amp;format=csv">'.get_string('csvdownload','completion').'</a></li>
381     <li><a href="index.php?course='.$course->id.'&amp;format=excelcsv">'.
382     get_string('excelcsvdownload','completion').'</a></li></ul>';
384 echo $OUTPUT->footer();