4f282ed0ec34df9d17a8dbff5f651471bc596228
[moodle.git] / lib / accesslib.php
1 <?php
2  /**
3   * Capability session information format
4   * 2 x 2 array
5   * [context][capability]
6   * where context is the context id of the table 'context'
7   * and capability is a string defining the capability
8   * e.g.
9   *
10   * [Capabilities] => [26][mod/forum:viewpost] = 1
11   *                   [26][mod/forum:startdiscussion] = -8990
12   *                   [26][mod/forum:editallpost] = -1
13   *                   [273][moodle:blahblah] = 1
14   *                   [273][moodle:blahblahblah] = 2
15   */
17 // permission definitions
18 define('CAP_ALLOW', 1);
19 define('CAP_PREVENT', -1);
20 define('CAP_PROHIBIT', -1000);
22 // context definitions
23 define('CONTEXT_SYSTEM', 10);
24 define('CONTEXT_PERSONAL', 20);
25 define('CONTEXT_USERID', 30);
26 define('CONTEXT_COURSECAT', 40);
27 define('CONTEXT_COURSE', 50);
28 define('CONTEXT_GROUP', 60);
29 define('CONTEXT_MODULE', 70);
30 define('CONTEXT_BLOCK', 80);
32 $context_cache    = array();    // Cache of all used context objects for performance (by level and instance)
33 $context_cache_id = array();    // Index to above cache by id
36 /**
37  * Load default not logged in role capabilities when user is not logged in
38  * @return bool 
39  */
40 function load_notloggedin_role() {
41     global $CFG, $USER;
43     if (!$sitecontext = get_context_instance(CONTEXT_SYSTEM, SITEID)) {
44         return false;
45     }
47     if (empty($CFG->notloggedinroleid)) {    // Let's set the default to the guest role
48         if ($roles = get_roles_with_capability('moodle/legacy:guest', CAP_ALLOW)) {
49             $role = array_shift($roles);   // Pick the first one
50             set_config('notloggedinroleid', $role->id);
51         } else {
52             return false;
53         }
54     }
56     if ($capabilities = get_records_select('role_capabilities', 
57                                      "roleid = $CFG->notloggedinroleid AND contextid = $sitecontext->id")) {
58         foreach ($capabilities as $capability) {
59             $USER->capabilities[$sitecontext->id][$capability->capability] = $capability->permission;     
60         }
61     }
63     return true;
64 }
66 /**
67  * This functions get all the course categories in proper order
68  * @param int $context
69  * @param int $type
70  * @return array of contextids
71  */
72 function get_parent_cats($context, $type) {
73     
74     $parents = array();
75     
76     switch ($type) {
78         case CONTEXT_COURSECAT:
79             
80             if (!$cat = get_record('course_categories','id',$context->instanceid)) {
81                 break;
82             }
84             while (!empty($cat->parent)) {
85                 if (!$context = get_context_instance(CONTEXT_COURSECAT, $cat->parent)) {
86                     break;
87                 }
88                 $parents[] = $context->id;
89                 $cat = get_record('course_categories','id',$cat->parent);
90             }
92         break;
93         
94         case CONTEXT_COURSE:
95         
96             if (!$course = get_record('course', 'id', $context->instanceid)) {
97                 break;
98             }
99             if (!$catinstance = get_context_instance(CONTEXT_COURSECAT, $course->category)) {
100                 break;
101             }
103             $parents[] = $catinstance->id;
105             if (!$cat = get_record('course_categories','id',$course->category)) {
106                 break;
107             }
109             while (!empty($cat->parent)) {
110                 if (!$context = get_context_instance(CONTEXT_COURSECAT, $cat->parent)) {
111                     break;
112                 }
113                 $parents[] = $context->id;
114                 $cat = get_record('course_categories','id',$cat->parent);
115             }
116         break;
117         
118         default:
119         break;
121     }
122     
123     return array_reverse($parents);
128 /*************************************
129  * Functions for Roles & Capabilites *
130  *************************************/
133 /**
134  * This function checks for a capability assertion being true.  If it isn't
135  * then the page is terminated neatly with a standard error message
136  * @param string $capability - name of the capability
137  * @param object $context - a context object (record from context table)
138  * @param integer $userid - a userid number
139  * @param string $errorstring - an errorstring
140  */
141 function require_capability($capability, $context=NULL, $userid=NULL, $errormessage="nopermissions", $stringfile='') {
143     global $USER;
145 /// If the current user is not logged in, then make sure they are
147     if (empty($userid) and empty($USER->id)) {
148         if ($context && ($context->aggregatelevel == CONTEXT_COURSE)) {
149             require_login($context->instanceid);
150         } else {
151             require_login();
152         }
153     }
154    
155 /// OK, if they still don't have the capability then print a nice error message
157     if (!has_capability($capability, $context, $userid)) {
158         $capabilityname = get_capability_string($capability);
159         print_error($errormessage, $stringfile, '', $capabilityname);
160     }
164 /**
165  * This function returns whether the current user has the capability of performing a function
166  * For example, we can do has_capability('mod/forum:replypost',$cm) in forum
167  * only one of the 4 (moduleinstance, courseid, site, userid) would be set at 1 time
168  * This is a recursive funciton.
169  * @uses $USER
170  * @param string $capability - name of the capability
171  * @param object $context - a context object (record from context table)
172  * @param integer $userid - a userid number
173  * @param bool $doanything - if false, ignore do anything
174  * @return bool
175  */
176 function has_capability($capability, $context=NULL, $userid=NULL, $doanything='true') {
178     global $USER, $CONTEXT, $CFG;
180     if (empty($userid) && !isloggedin() && !isset($USER->capabilities)) {
181         load_notloggedin_role();
182     }
184     if ($userid && $userid != $USER->id) {
185         if (empty($USER->id) or ($userid != $USER->id)) {
186             $capabilities = load_user_capability($capability, $context, $userid);
187         } else { //$USER->id == $userid
188             $capabilities = empty($USER->capabilities) ? NULL : $USER->capabilities;
189         }
190     } else { // no userid
191         $capabilities = empty($USER->capabilities) ? NULL : $USER->capabilities;
192     }
194     if (empty($context)) {                 // Use default CONTEXT if none specified
195         if (empty($CONTEXT)) {
196             return false;
197         } else {
198             $context = $CONTEXT;
199         }
200     } else {                               // A context was given to us
201         if (empty($CONTEXT)) {
202             $CONTEXT = $context;           // Store FIRST used context in this global as future default
203         }
204     }
206     if ($doanything) {
207         // Check site
208         $sitecontext = get_context_instance(CONTEXT_SYSTEM, SITEID);
209         if (isset($capabilities[$sitecontext->id]['moodle/site:doanything'])) {
210             return (0 < $capabilities[$sitecontext->id]['moodle/site:doanything']);
211         }
212     
213         switch ($context->aggregatelevel) {
214         
215             case CONTEXT_COURSECAT:
216                 // Check parent cats.
217                 $parentcats = get_parent_cats($context, CONTEXT_COURSECAT);
218                 foreach ($parentcats as $parentcat) {
219                     if (isset($capabilities[$parentcat]['moodle/site:doanything'])) {
220                         return (0 < $capabilities[$parentcat]['moodle/site:doanything']);
221                     }
222                 }
223             break;
225             case CONTEXT_COURSE:
226                 // Check parent cat.
227                 $parentcats = get_parent_cats($context, CONTEXT_COURSE);
229                 foreach ($parentcats as $parentcat) {
230                     if (isset($capabilities[$parentcat]['do_anything'])) {
231                         return (0 < $capabilities[$parentcat]['do_anything']);
232                     }
233                 }
234             break;
236             case CONTEXT_GROUP:
237                 // Find course.
238                 $group = get_record('groups','id',$context->instanceid);
239                 $courseinstance = get_context_instance(CONTEXT_COURSE, $group->courseid);
241                 $parentcats = get_parent_cats($courseinstance, CONTEXT_COURSE);
242                 foreach ($parentcats as $parentcat) {
243                     if (isset($capabilities[$parentcat->id]['do_anything'])) {
244                         return (0 < $capabilities[$parentcat->id]['do_anything']);
245                     }
246                 }
248                 $coursecontext = '';
249                 if (isset($capabilities[$courseinstance->id]['do_anything'])) {
250                     return (0 < $capabilities[$courseinstance->id]['do_anything']);
251                 }
253             break;
255             case CONTEXT_MODULE:
256                 // Find course.
257                 $cm = get_record('course_modules', 'id', $context->instanceid);
258                 $courseinstance = get_context_instance(CONTEXT_COURSE, $cm->course);
260                 if ($parentcats = get_parent_cats($courseinstance, CONTEXT_COURSE)) {
261                     foreach ($parentcats as $parentcat) {
262                         if (isset($capabilities[$parentcat]['do_anything'])) {
263                             return (0 < $capabilities[$parentcat]['do_anything']);
264                         }
265                     }
266                 }
268                 if (isset($capabilities[$courseinstance->id]['do_anything'])) {
269                     return (0 < $capabilities[$courseinstance->id]['do_anything']);
270                 }
272             break;
274             case CONTEXT_BLOCK:
275                 // 1 to 1 to course.
276                 // Find course.
277                 $block = get_record('block_instance','id',$context->instanceid);
278                 $courseinstance = get_context_instance(CONTEXT_COURSE, $block->pageid); // needs check
280                 $parentcats = get_parent_cats($courseinstance, CONTEXT_COURSE);
281                 foreach ($parentcats as $parentcat) {
282                     if (isset($capabilities[$parentcat]['do_anything'])) {
283                         return (0 < $capabilities[$parentcat]['do_anything']);
284                     }
285                 }
287                 if (isset($capabilities[$courseinstance->id]['do_anything'])) {
288                     return (0 < $capabilities[$courseinstance->id]['do_anything']);
289                 }
290             break;
292             default:
293                 // CONTEXT_SYSTEM: CONTEXT_PERSONAL: CONTEXT_USERID:
294                 // Do nothing.
295             break;
296         }
298         // Last: check self.
299         if (isset($capabilities[$context->id]['do_anything'])) {
300             return (0 < $capabilities[$context->id]['do_anything']);
301         }
302     }
303     // do_anything has not been set, we now look for it the normal way.
304     return (0 < capability_search($capability, $context, $capabilities));
309 /**
310  * In a separate function so that we won't have to deal with do_anything.
311  * again. Used by function has_capability.
312  * @param $capability - capability string
313  * @param $context - the context object
314  * @param $capabilities - either $USER->capability or loaded array
315  * @return permission (int)
316  */
317 function capability_search($capability, $context, $capabilities) {
318    
319     global $USER, $CFG;
321     if (isset($capabilities[$context->id][$capability])) {
322         if ($CFG->debug > 15) {
323             notify("Found $capability in context $context->id at level $context->aggregatelevel: ".$capabilities[$context->id][$capability], 'notifytiny');
324         }
325         return ($capabilities[$context->id][$capability]);
326     }
328     /* Then, we check the cache recursively */
329     $permission = 0;
331     switch ($context->aggregatelevel) {
333         case CONTEXT_SYSTEM: // by now it's a definite an inherit
334             $permission = 0;
335         break;
337         case CONTEXT_PERSONAL:
338             $parentcontext = get_context_instance(CONTEXT_SYSTEM, SITEID);
339             $permission = capability_search($capability, $parentcontext, $capabilities);
340         break;
342         case CONTEXT_USERID:
343             $parentcontext = get_context_instance(CONTEXT_SYSTEM, SITEID);
344             $permission = capability_search($capability, $parentcontext, $capabilities);
345         break;
347         case CONTEXT_COURSECAT: // Coursecat -> coursecat or site
348             $coursecat = get_record('course_categories','id',$context->instanceid);
349             if (!empty($coursecat->parent)) { // return parent value if it exists
350                 $parentcontext = get_context_instance(CONTEXT_COURSECAT, $coursecat->parent);
351             } else { // else return site value
352                 $parentcontext = get_context_instance(CONTEXT_SYSTEM, SITEID);
353             }
354             $permission = capability_search($capability, $parentcontext, $capabilities);
355         break;
357         case CONTEXT_COURSE: // 1 to 1 to course cat
358             // find the course cat, and return its value
359             $course = get_record('course','id',$context->instanceid);
360             $parentcontext = get_context_instance(CONTEXT_COURSECAT, $course->category);
361             $permission = capability_search($capability, $parentcontext, $capabilities);
362         break;
364         case CONTEXT_GROUP: // 1 to 1 to course
365             $group = get_record('groups','id',$context->instanceid);
366             $parentcontext = get_context_instance(CONTEXT_COURSE, $group->courseid);
367             $permission = capability_search($capability, $parentcontext, $capabilities);
368         break;
370         case CONTEXT_MODULE: // 1 to 1 to course
371             $cm = get_record('course_modules','id',$context->instanceid);
372             $parentcontext = get_context_instance(CONTEXT_COURSE, $cm->course);
373             $permission = capability_search($capability, $parentcontext, $capabilities);
374         break;
376         case CONTEXT_BLOCK: // 1 to 1 to course
377             $block = get_record('block_instance','id',$context->instanceid);
378             $parentcontext = get_context_instance(CONTEXT_COURSE, $block->pageid); // needs check
379             $permission = capability_search($capability, $parentcontext, $capabilities);
380         break;
382         default:
383             error ('This is an unknown context!');
384         return false;
385     }
386     if ($CFG->debug > 15) {
387         notify("Found $capability recursively from context $context->id at level $context->aggregatelevel: $permission", 'notifytiny');
388     }
390     return $permission;
394 /**
395  * This function should be called immediately after a login, when $USER is set.
396  * It will build an array of all the capabilities at each level
397  * i.e. site/metacourse/course_category/course/moduleinstance
398  * Note we should only load capabilities if they are explicitly assigned already,
399  * we should not load all module's capability!
400  * @param $userid - the id of the user whose capabilities we want to load
401  * @return array
402  * possible just s simple 2D array with [contextid][capabilityname]
403  * [Capabilities] => [26][forum_post] = 1
404  *                   [26][forum_start] = -8990
405  *                   [26][forum_edit] = -1
406  *                   [273][blah blah] = 1
407  *                   [273][blah blah blah] = 2
408  */
409 function load_user_capability($capability='', $context ='', $userid='') {
411     global $USER, $CFG;
413     
414     if (empty($userid)) {
415         if (empty($USER->id)) {               // We have no user to get capabilities for
416             return false;
417         }
418         if (!empty($USER->capabilities)) {    // make sure it's cleaned when loaded (again)
419             unset($USER->capabilities);  
420         }
421         $userid = $USER->id;
422         $otheruserid = false;
423     } else {
424         $otheruserid = $userid;
425     }
427     if ($capability) {
428         $capsearch = " AND rc.capability = '$capability' ";
429     } else {
430         $capsearch ="";  
431     }
433 /// First we generate a list of all relevant contexts of the user
435     $usercontexts = array();
437     if ($context) { // if context is specified
438         $usercontexts = get_parent_contexts($context);          
439     } else { // else, we load everything
440         if ($userroles = get_records('role_assignments','userid',$userid)) {
441             foreach ($userroles as $userrole) {
442                 $usercontexts[] = $userrole->contextid;
443             }
444         }
445     }
447 /// Set up SQL fragments for searching contexts
449     if ($usercontexts) {
450         $listofcontexts = '('.implode(',', $usercontexts).')';
451         $searchcontexts1 = "c1.id IN $listofcontexts AND";
452         $searchcontexts2 = "c2.id IN $listofcontexts AND";
453     } else {
454         $listofcontexts = $searchcontexts1 = $searchcontexts2 = '';
455     }
457 /// Then we use 1 giant SQL to bring out all relevant capabilities.
458 /// The first part gets the capabilities of orginal role.
459 /// The second part gets the capabilities of overriden roles.
461     $siteinstance = get_context_instance(CONTEXT_SYSTEM, SITEID);
463     $SQL = " SELECT  rc.capability, c1.id, (c1.aggregatelevel * 100) AS aggrlevel,
464                      SUM(rc.permission) AS sum
465                      FROM
466                      {$CFG->prefix}role_assignments AS ra, 
467                      {$CFG->prefix}role_capabilities AS rc,
468                      {$CFG->prefix}context AS c1
469                      WHERE
470                      ra.contextid=c1.id AND
471                      ra.roleid=rc.roleid AND
472                      ra.userid=$userid AND
473                      $searchcontexts1
474                      rc.contextid=$siteinstance->id 
475                      $capsearch
476               GROUP BY
477                      rc.capability, (c1.aggregatelevel * 100), c1.id
478                      HAVING
479                      SUM(rc.permission) != 0
480               UNION
482               SELECT rc.capability, c1.id, (c1.aggregatelevel * 100 + c2.aggregatelevel) AS aggrlevel,
483                      SUM(rc.permission) AS sum
484                      FROM
485                      {$CFG->prefix}role_assignments AS ra,
486                      {$CFG->prefix}role_capabilities AS rc,
487                      {$CFG->prefix}context AS c1,
488                      {$CFG->prefix}context AS c2
489                      WHERE
490                      ra.contextid=c1.id AND
491                      ra.roleid=rc.roleid AND 
492                      ra.userid=$userid AND         
493                      rc.contextid=c2.id AND             
494                      $searchcontexts1
495                      $searchcontexts2
496                      rc.contextid != $siteinstance->id
497                      $capsearch
498                   
499               GROUP BY
500                      rc.capability, (c1.aggregatelevel * 100 + c2.aggregatelevel), c1.id
501                      HAVING
502                      SUM(rc.permission) != 0
503               ORDER BY
504                      aggrlevel ASC
505             ";
507     $capabilities = array();  // Reinitialize.
508     if (!$rs = get_recordset_sql($SQL)) {
509         error("Query failed in load_user_capability.");
510     }
512     if ($rs && $rs->RecordCount() > 0) {
513         while (!$rs->EOF) {
514             $array = $rs->fields;
515             $temprecord = new object;
516               
517             foreach ($array as $key=>$val) {
518                 if ($key == 'aggrlevel') {
519                     $temprecord->aggregatelevel = $val;
520                 } else {
521                     $temprecord->{$key} = $val;
522                 }
523             }
524             $capabilities[] = $temprecord;
525             $rs->MoveNext();
526         }
527     }
528     
529     /* so up to this point we should have somethign like this
530      * $capabilities[1]    ->aggregatelevel = 1000
531                            ->module = SITEID
532                            ->capability = do_anything
533                            ->id = 1 (id is the context id)
534                            ->sum = 0
535                            
536      * $capabilities[2]     ->aggregatelevel = 1000
537                             ->module = SITEID
538                             ->capability = post_messages
539                             ->id = 1
540                             ->sum = -9000
542      * $capabilittes[3]     ->aggregatelevel = 3000
543                             ->module = course
544                             ->capability = view_course_activities
545                             ->id = 25
546                             ->sum = 1
548      * $capabilittes[4]     ->aggregatelevel = 3000
549                             ->module = course
550                             ->capability = view_course_activities
551                             ->id = 26
552                             ->sum = 0 (this is another course)
553                             
554      * $capabilities[5]     ->aggregatelevel = 3050
555                             ->module = course
556                             ->capability = view_course_activities
557                             ->id = 25 (override in course 25)
558                             ->sum = -1
559      * ....
560      * now we proceed to write the session array, going from top to bottom
561      * at anypoint, we need to go up and check parent to look for prohibit
562      */
563     // print_object($capabilities);
565     /* This is where we write to the actualy capabilities array
566      * what we need to do from here on is
567      * going down the array from lowest level to highest level
568      * 1) recursively check for prohibit,
569      *  if any, we write prohibit
570      *  else, we write the value
571      * 2) at an override level, we overwrite current level
572      *  if it's not set to prohibit already, and if different
573      *  ........ that should be it ........
574      */
575     $usercap = array(); // for other user's capabilities
576     foreach ($capabilities as $capability) {
578         $context = get_context_instance_by_id($capability->id);
580         if (!empty($otheruserid)) { // we are pulling out other user's capabilities, do not write to session
581             
582             if (capability_prohibits($capability->capability, $context, $capability->sum, $usercap)) {
583                 $usercap[$capability->id][$capability->capability] = -9000;
584                 continue;
585             }
587             $usercap[$capability->id][$capability->capability] = $capability->sum;          
588           
589         } else {
591             if (capability_prohibits($capability->capability, $context, $capability->sum)) { // if any parent or parent's parent is set to prohibit
592                 $USER->capabilities[$capability->id][$capability->capability] = -9000;
593                 continue;
594             }
595     
596             // if no parental prohibit set
597             // just write to session, i am not sure this is correct yet
598             // since 3050 shows up after 3000, and 3070 shows up after 3050,
599             // it should be ok just to overwrite like this, provided that there's no
600             // parental prohibits
601             // no point writing 0, since 0 = inherit
602             // we need to write even if it's 0, because it could be an inherit override
603             $USER->capabilities[$capability->id][$capability->capability] = $capability->sum;
604         }
605     }
606     
607     // now we don't care about the huge array anymore, we can dispose it.
608     unset($capabilities);
609     
610     if (!empty($otheruserid)) {
611         return $usercap; // return the array  
612     }
613     // see array in session to see what it looks like
618 /**
619  * This is a recursive function that checks whether the capability in this
620  * context, or the parent capabilities are set to prohibit.
621  *
622  * At this point, we can probably just use the values already set in the
623  * session variable, since we are going down the level. Any prohit set in
624  * parents would already reflect in the session.
625  *
626  * @param $capability - capability name
627  * @param $sum - sum of all capabilities values
628  * @param $context - the context object
629  * @param $array - when loading another user caps, their caps are not stored in session but an array
630  */
631 function capability_prohibits($capability, $context, $sum='', $array='') {
632     global $USER;
634     if ($sum < -8000) {
635         // If this capability is set to prohibit.
636         return true;
637     }
638     
639     if (isset($array)) {
640         if (isset($array[$context->id][$capability]) 
641                 && $array[$context->id][$capability] < -8000) {
642             return true;
643         }    
644     } else {
645         // Else if set in session.
646         if (isset($USER->capabilities[$context->id][$capability]) 
647                 && $USER->capabilities[$context->id][$capability] < -8000) {
648             return true;
649         }
650     }
651     switch ($context->aggregatelevel) {
652         
653         case CONTEXT_SYSTEM:
654             // By now it's a definite an inherit.
655             return 0;
656         break;
658         case CONTEXT_PERSONAL:
659             $parent = get_context_instance(CONTEXT_SYSTEM, SITEID);
660             return capability_prohibits($capability, $parent);
661         break;
663         case CONTEXT_USERID:
664             $parent = get_context_instance(CONTEXT_SYSTEM, SITEID);
665             return capability_prohibits($capability, $parent);
666         break;
668         case CONTEXT_COURSECAT:
669             // Coursecat -> coursecat or site.
670             $coursecat = get_record('course_categories','id',$context->instanceid);
671             if (!empty($coursecat->parent)) {
672                 // return parent value if exist.
673                 $parent = get_context_instance(CONTEXT_COURSECAT, $coursecat->parent);
674             } else {
675                 // Return site value.
676                 $parent = get_context_instance(CONTEXT_SYSTEM, SITEID);
677             }
678             return capability_prohibits($capability, $parent);
679         break;
681         case CONTEXT_COURSE:
682             // 1 to 1 to course cat.
683             // Find the course cat, and return its value.
684             $course = get_record('course','id',$context->instanceid);
685             $parent = get_context_instance(CONTEXT_COURSECAT, $course->category);
686             return capability_prohibits($capability, $parent);
687         break;
689         case CONTEXT_GROUP:
690             // 1 to 1 to course.
691             $group = get_record('groups','id',$context->instanceid);
692             $parent = get_context_instance(CONTEXT_COURSE, $group->courseid);
693             return capability_prohibits($capability, $parent);
694         break;
696         case CONTEXT_MODULE:
697             // 1 to 1 to course.
698             $cm = get_record('course_modules','id',$context->instanceid);
699             $parent = get_context_instance(CONTEXT_COURSE, $cm->course);
700             return capability_prohibits($capability, $parent);
701         break;
703         case CONTEXT_BLOCK:
704             // 1 to 1 to course.
705             $block = get_record('block_instance','id',$context->instanceid);
706             $parent = get_context_instance(CONTEXT_COURSE, $block->pageid); // needs check
707             return capability_prohibits($capability, $parent);
708         break;
710         default:
711             error ('This is an unknown context!');
712         return false;
713     }
717 /**
718  * A print form function. This should either grab all the capabilities from
719  * files or a central table for that particular module instance, then present
720  * them in check boxes. Only relevant capabilities should print for known
721  * context.
722  * @param $mod - module id of the mod
723  */
724 function print_capabilities($modid=0) {
725     global $CFG;
726     
727     $capabilities = array();
729     if ($modid) {
730         // We are in a module specific context.
732         // Get the mod's name.
733         // Call the function that grabs the file and parse.
734         $cm = get_record('course_modules', 'id', $modid);
735         $module = get_record('modules', 'id', $cm->module);
736         
737     } else {
738         // Print all capabilities.
739         foreach ($capabilities as $capability) {
740             // Prints the check box component.
741         }
742     }
746 /**
747  * Installs the roles system.
748  * This function runs on a fresh install as well as on an upgrade from the old
749  * hard-coded student/teacher/admin etc. roles to the new roles system.
750  */
751 function moodle_install_roles() {
753     global $CFG, $db;
754     
755     // Create a system wide context for assignemnt.
756     $systemcontext = $context = get_context_instance(CONTEXT_SYSTEM, SITEID);
759     // Create default/legacy roles and capabilities.
760     // (1 legacy capability per legacy role at system level).
761     $adminrole = create_role(get_string('administrator'), get_string('administratordescription'), 'moodle/legacy:admin');   
762     if (!assign_capability('moodle/site:doanything', CAP_ALLOW, $adminrole, $systemcontext->id)) {
763         error('Could not assign moodle/site:doanything to the admin role');
764     }
765     $coursecreatorrole = create_role(get_string('coursecreators'), get_string('coursecreatorsdescription'), 'moodle/legacy:coursecreator');   
766     $noneditteacherrole = create_role(get_string('noneditingteacher'), get_string('noneditingteacherdescription'), 'moodle/legacy:teacher');    
767     $editteacherrole = create_role(get_string('defaultcourseteacher'), get_string('defaultcourseteacherdescription'), 'moodle/legacy:editingteacher');    
768     $studentrole = create_role(get_string('defaultcoursestudent'), get_string('defaultcoursestudentdescription'), 'moodle/legacy:student');
769     $guestrole = create_role(get_string('guest'), get_string('guestdescription'), 'moodle/legacy:guest');
772     // Look inside user_admin, user_creator, user_teachers, user_students and
773     // assign above new roles. If a user has both teacher and student role,
774     // only teacher role is assigned. The assignment should be system level.
775     $dbtables = $db->MetaTables('TABLES');
776     
778     /**
779      * Upgrade the admins.
780      * Sort using id ASC, first one is primary admin.
781      */
782     if (in_array($CFG->prefix.'user_admins', $dbtables)) {
783         if ($useradmins = get_records_sql('SELECT * from '.$CFG->prefix.'user_admins ORDER BY ID ASC')) { 
784             foreach ($useradmins as $admin) {
785                 role_assign($adminrole, $admin->userid, 0, $systemcontext->id);
786             }
787         }
788     } else {
789         // This is a fresh install.
790     }
793     /**
794      * Upgrade course creators.
795      */
796     if (in_array($CFG->prefix.'user_coursecreators', $dbtables)) {
797         if ($usercoursecreators = get_records('user_coursecreators')) {
798             foreach ($usercoursecreators as $coursecreator) {
799                 role_assign($coursecreatorrole, $coursecreator->userid, 0, $systemcontext->id);
800             }
801         }
802     }
805     /**
806      * Upgrade editting teachers and non-editting teachers.
807      */
808     if (in_array($CFG->prefix.'user_teachers', $dbtables)) {
809         if ($userteachers = get_records('user_teachers')) {
810             foreach ($userteachers as $teacher) {
811                 $coursecontext = get_context_instance(CONTEXT_COURSE, $teacher->course); // needs cache
812                 if ($teacher->editall) { // editting teacher
813                     role_assign($editteacherrole, $teacher->userid, 0, $coursecontext->id);
814                 } else {
815                     role_assign($noneditteacherrole, $teacher->userid, 0, $coursecontext->id);
816                 }
817             }
818         }
819     }
822     /**
823      * Upgrade students.
824      */
825     if (in_array($CFG->prefix.'user_students', $dbtables)) {
826         if ($userstudents = get_records('user_students')) {
827             foreach ($userstudents as $student) {
828                 $coursecontext = get_context_instance(CONTEXT_COURSE, $student->course);
829                 role_assign($studentrole, $student->userid, 0, $coursecontext->id);
830             }
831         }
832     }
835     /**
836      * Upgrade guest (only 1 entry).
837      */
838     if ($guestuser = get_record('user', 'username', 'guest')) {
839         role_assign($guestrole, $guestuser->id, 0, $systemcontext->id);
840     }
842     /**
843      * Insert the correct records for legacy roles 
844      */
845     allow_assign($adminrole, $adminrole);
846     allow_assign($adminrole, $coursecreatorrole);
847     allow_assign($adminrole, $noneditteacherrole);
848     allow_assign($adminrole, $editteacherrole);   
849     allow_assign($adminrole, $studentrole);
850     allow_assign($adminrole, $guestrole);
851     
852     allow_assign($coursecreatorrole, $noneditteacherrole);
853     allow_assign($coursecreatorrole, $editteacherrole);
854     allow_assign($coursecreatorrole, $studentrole);     
855     allow_assign($coursecreatorrole, $guestrole);
856     
857     allow_assign($editteacherrole, $noneditteacherrole);     
858     allow_assign($editteacherrole, $studentrole);      
859     allow_assign($editteacherrole, $guestrole);
860     
861     /// overrides
862     allow_override($adminrole, $adminrole);
863     allow_override($adminrole, $coursecreatorrole);
864     allow_override($adminrole, $noneditteacherrole);
865     allow_override($adminrole, $editteacherrole);   
866     allow_override($adminrole, $studentrole);
867     allow_override($adminrole, $guestrole);    
869     // Should we delete the tables after we are done? Not yet.
872 /**
873  * Assign the defaults found in this capabality definition to roles that have
874  * the corresponding legacy capabilities assigned to them.
875  * @param $legacyperms - an array in the format (example):
876  *                      'guest' => CAP_PREVENT,
877  *                      'student' => CAP_ALLOW,
878  *                      'teacher' => CAP_ALLOW,
879  *                      'editingteacher' => CAP_ALLOW,
880  *                      'coursecreator' => CAP_ALLOW,
881  *                      'admin' => CAP_ALLOW
882  * @return boolean - success or failure.
883  */
884 function assign_legacy_capabilities($capability, $legacyperms) {
885     
886     foreach ($legacyperms as $type => $perm) {
887         
888         $systemcontext = get_context_instance(CONTEXT_SYSTEM, SITEID);
889         
890         // The legacy capabilities are:
891         //   'moodle/legacy:guest'
892         //   'moodle/legacy:student'
893         //   'moodle/legacy:teacher'
894         //   'moodle/legacy:editingteacher'
895         //   'moodle/legacy:coursecreator'
896         //   'moodle/legacy:admin'
897         
898         if (!$roles = get_roles_with_capability('moodle/legacy:'.$type, CAP_ALLOW)) {
899             return false;
900         }
901         
902         foreach ($roles as $role) {
903             // Assign a site level capability.
904             if(!assign_capability($capability, $perm, $role->id, $systemcontext->id)) {
905                 return false;
906             }
907         }
908     }
909     return true;
913 /**
914  * Checks to see if a capability is a legacy capability.
915  * @param $capabilityname
916  * @return boolean
917  */
918 function islegacy($capabilityname) {
919     if (strstr($capabilityname, 'legacy') === false) {
920         return false;  
921     } else {
922         return true;  
923     }
928 /**********************************
929  * Context Manipulation functions *
930  **********************************/
932 /**
933  * This should be called prolly everytime a user, group, module, course,
934  * coursecat or site is set up maybe?
935  * @param $level
936  * @param $instanceid
937  */
938 function create_context($aggregatelevel, $instanceid) {
939     if (!get_record('context','aggregatelevel',$aggregatelevel,'instanceid',$instanceid)) {
940         $context = new object;
941         $context->aggregatelevel = $aggregatelevel;
942         $context->instanceid = $instanceid;
943         return insert_record('context',$context);
944     }
948 /**
949  * Get the context instance as an object. This function will create the
950  * context instance if it does not exist yet.
951  * @param $level
952  * @param $instance
953  */
954 function get_context_instance($aggregatelevel=NULL, $instance=SITEID) {
956     global $context_cache, $context_cache_id, $CONTEXT;
958 /// If no level is supplied then return the current global context if there is one
959     if (empty($aggregatelevel)) {
960         if (empty($CONTEXT)) {
961             if ($CFG->debug > 7) {
962                 notify("Error: get_context_instance() called without a context");
963             }
964         } else {
965             return $CONTEXT;
966         }
967     }
969 /// Check the cache
970     if (isset($context_cache[$aggregatelevel][$instance])) {  // Already cached
971         return $context_cache[$aggregatelevel][$instance];
972     }
974 /// Get it from the database, or create it
975     if (!$context = get_record('context', 'aggregatelevel', $aggregatelevel, 'instanceid', $instance)) {
976         create_context($aggregatelevel, $instance);
977         $context = get_record('context', 'aggregatelevel', $aggregatelevel, 'instanceid', $instance);
978     }
980 /// Update the cache
981     $context_cache[$aggregatelevel][$instance] = $context;    // Cache it for later
982     $context_cache_id[$context->id] = $context;      // Cache it for later
985     return $context;
989 /**
990  * Get a context instance as an object, from a given id.
991  * @param $id
992  */
993 function get_context_instance_by_id($id) {
995     global $context_cache, $context_cache_id;
997     if (isset($context_cache_id[$id])) {  // Already cached
998         return $context_cache_id[$id];
999     }
1001     if ($context = get_record('context', 'id', $id)) {   // Update the cache and return
1002         $context_cache[$context->aggregatelevel][$context->instanceid] = $context;
1003         $context_cache_id[$context->id] = $context;
1004         return $context;
1005     }
1007     return false;
1011 /**
1012  * Get the local override (if any) for a given capability in a role in a context
1013  * @param $roleid
1014  * @param $contextid
1015  * @param $capability
1016  */
1017 function get_local_override($roleid, $contextid, $capability) {
1018     return get_record('role_capabilities', 'roleid', $roleid, 'capability', $capability, 'contextid', $contextid);
1023 /************************************
1024  *    DB TABLE RELATED FUNCTIONS    *
1025  ************************************/
1027 /**
1028  * function that creates a role
1029  * @param name - role name
1030  * @param description - role description
1031  * @param legacy - optional legacy capability
1032  * @return id or false
1033  */
1034 function create_role($name, $description, $legacy='') {
1035           
1036     // check for duplicate role name
1037                 
1038     if ($role = get_record('role','name', $name)) {
1039         error('there is already a role with this name!');  
1040     }
1041     
1042     $role->name = $name;
1043     $role->description = $description;
1044                                 
1045     if ($id = insert_record('role', $role)) {
1046         if ($legacy) {
1047             $context = get_context_instance(CONTEXT_SYSTEM, SITEID);
1048             assign_capability($legacy, CAP_ALLOW, $id, $context->id);            
1049         }
1050         return $id;
1051     } else {
1052         return false;  
1053     }
1054   
1058 /**
1059  * Function to write context specific overrides, or default capabilities.
1060  * @param module - string name
1061  * @param capability - string name
1062  * @param contextid - context id
1063  * @param roleid - role id
1064  * @param permission - int 1,-1 or -1000
1065  */
1066 function assign_capability($capability, $permission, $roleid, $contextid) {
1067     
1068     global $USER;
1069     
1070     if (empty($permission) || $permission == 0) { // if permission is not set
1071         unassign_capability($capability, $roleid, $contextid);      
1072     }
1073     
1074     $cap = new object;
1075     $cap->contextid = $contextid;
1076     $cap->roleid = $roleid;
1077     $cap->capability = $capability;
1078     $cap->permission = $permission;
1079     $cap->timemodified = time();
1080     $cap->modifierid = empty($USER->id) ? 0 : $USER->id;
1081     
1082     return insert_record('role_capabilities', $cap);
1086 /**
1087  * Unassign a capability from a role.
1088  * @param $roleid - the role id
1089  * @param $capability - the name of the capability
1090  * @return boolean - success or failure
1091  */
1092 function unassign_capability($capability, $roleid, $contextid=NULL) {
1093     
1094     if (isset($contextid)) {
1095         $status = delete_records('role_capabilities', 'capability', $capability,
1096                 'roleid', $roleid, 'contextid', $contextid);
1097     } else {
1098         $status = delete_records('role_capabilities', 'capability', $capability,
1099                 'roleid', $roleid);
1100     }
1101     return $status;
1105 /**
1106  * Get the roles that have a given capability.
1107  * @param $capability - capability name (string)
1108  * @param $permission - optional, the permission defined for this capability
1109  *                      either CAP_ALLOW, CAP_PREVENT or CAP_PROHIBIT
1110  * @return array or role objects
1111  */
1112 function get_roles_with_capability($capability, $permission=NULL) {
1113     
1114     global $CFG;
1115     
1116     $selectroles = "SELECT r.* 
1117                       FROM {$CFG->prefix}role AS r,
1118                            {$CFG->prefix}role_capabilities AS rc
1119                      WHERE rc.capability = '$capability'
1120                        AND rc.roleid = r.id";
1122     if (isset($permission)) {
1123         $selectroles .= " AND rc.permission = '$permission'";
1124     }
1125     return get_records_sql($selectroles);
1129 /**
1130  * This function makes a role-assignment (a role for a user or group in a particular context)
1131  * @param $roleid - the role of the id
1132  * @param $userid - userid
1133  * @param $groupid - group id
1134  * @param $contextid - id of the context
1135  * @param $timestart - time this assignment becomes effective
1136  * @param $timeend - time this assignemnt ceases to be effective
1137  * @uses $USER
1138  * @return id - new id of the assigment
1139  */
1140 function role_assign($roleid, $userid, $groupid, $contextid, $timestart=0, $timeend=0, $hidden=0, $enrol='manual') {
1141     global $USER, $CFG;
1143     if ($CFG->debug > 7) {
1144         notify("Assign roleid $roleid userid $userid contextid $contextid", 'notifytiny');
1145     }
1147 /// Do some data validation
1149     if (empty($roleid)) {
1150         notify('Role ID not provided');
1151         return false;
1152     }
1154     if (empty($userid) && empty($groupid)) {
1155         notify('Either userid or groupid must be provided');
1156         return false;
1157     }
1158     
1159     if ($userid && !record_exists('user', 'id', $userid)) {
1160         notify('User does not exist!');
1161         return false;
1162     }
1164     if ($groupid && !record_exists('groups', 'id', $groupid)) {
1165         notify('Group does not exist!');
1166         return false;
1167     }
1169     if (!$context = get_context_instance_by_id($contextid)) {
1170         notify('A valid context must be provided');
1171         return false;
1172     }
1174     if (($timestart and $timeend) and ($timestart > $timeend)) {
1175         notify('The end time can not be earlier than the start time');
1176         return false;
1177     }
1180 /// Check for existing entry
1181     if ($userid) {
1182         $ra = get_record('role_assignments', 'roleid', $roleid, 'contextid', $context->id, 'userid', $userid);
1183     } else {
1184         $ra = get_record('role_assignments', 'roleid', $roleid, 'contextid', $context->id, 'groupid', $groupid);
1185     }
1188     $newra = new object;
1190     if (empty($ra)) {             // Create a new entry
1191         $newra->roleid = $roleid;
1192         $newra->contextid = $context->id;
1193         $newra->userid = $userid;
1194         $newra->groupid = $groupid;
1196         $newra->hidden = $hidden;
1197         $newra->enrol = $enrol;
1198         $newra->timestart = $timestart;
1199         $newra->timeend = $timeend;
1200         $newra->timemodified = time();
1201         $newra->modifier = empty($USER->id) ? 0 : $USER->id;
1203         $success = insert_record('role_assignments', $newra);
1205     } else {                      // We already have one, just update it
1207         $newra->id = $ra->id;
1208         $newra->hidden = $hidden;
1209         $newra->enrol = $enrol;
1210         $newra->timestart = $timestart;
1211         $newra->timeend = $timeend;
1212         $newra->timemodified = time();
1213         $newra->modifier = empty($USER->id) ? 0 : $USER->id;
1215         $success = update_record('role_assignments', $newra);
1216     }
1218     if ($success) {   /// Role was assigned, so do some other things
1220     /// If the user is the current user, then reload the capabilities too.
1221         if (!empty($USER->id) && $USER->id == $userid) {
1222             load_user_capability();
1223         }
1225     /// Make sure the user is subscribed to any appropriate forums in this context
1226         require_once($CFG->dirroot.'/mod/forum/lib.php');
1227         forum_add_user_default_subscriptions($userid, $context);
1228     }
1230     return $success;
1234 /**
1235  * Deletes one or more role assignments.   You must specify at least one parameter.
1236  * @param $roleid
1237  * @param $userid
1238  * @param $groupid
1239  * @param $contextid
1240  * @return boolean - success or failure
1241  */
1242 function role_unassign($roleid=0, $userid=0, $groupid=0, $contextid=0) {
1243     $args = array('roleid', 'userid', 'groupid', 'contextid');
1244     $select = array();
1245     foreach ($args as $arg) {
1246         if ($$arg) {
1247             $select[] = $arg.' = '.$$arg;
1248         }
1249     }
1250     if ($select) {
1251         return delete_records_select('role_assignments', implode(' AND ', $select)); 
1252     }
1253     return false;
1257 /**
1258  * Loads the capability definitions for the component (from file). If no
1259  * capabilities are defined for the component, we simply return an empty array.
1260  * @param $component - examples: 'moodle', 'mod/forum', 'block/quiz_results'
1261  * @return array of capabilities
1262  */
1263 function load_capability_def($component) {
1264     global $CFG;
1266     if ($component == 'moodle') {
1267         $defpath = $CFG->libdir.'/db/access.php';
1268         $varprefix = 'moodle';
1269     } else {
1270         $defpath = $CFG->dirroot.'/'.$component.'/db/access.php';
1271         $varprefix = str_replace('/', '_', $component);
1272     }
1273     $capabilities = array();
1274     
1275     if (file_exists($defpath)) {
1276         require_once($defpath);
1277         $capabilities = ${$varprefix.'_capabilities'};
1278     }
1279     return $capabilities;
1283 /**
1284  * Gets the capabilities that have been cached in the database for this
1285  * component.
1286  * @param $component - examples: 'moodle', 'mod/forum', 'block/quiz_results'
1287  * @return array of capabilities
1288  */
1289 function get_cached_capabilities($component='moodle') {
1290     if ($component == 'moodle') {
1291         $storedcaps = get_records_select('capabilities',
1292                         "name LIKE 'moodle/%:%'");
1293     } else {
1294         $storedcaps = get_records_select('capabilities',
1295                         "name LIKE '$component:%'");
1296     }
1297     return $storedcaps;
1301 /**
1302  * Updates the capabilities table with the component capability definitions.
1303  * If no parameters are given, the function updates the core moodle
1304  * capabilities.
1305  *
1306  * Note that the absence of the db/access.php capabilities definition file
1307  * will cause any stored capabilities for the component to be removed from
1308  * the database. 
1309  *
1310  * @param $component - examples: 'moodle', 'mod/forum', 'block/quiz_results'
1311  * @return boolean
1312  */
1313 function update_capabilities($component='moodle') {
1314     
1315     $storedcaps = array();
1317     $filecaps = load_capability_def($component);
1318     $cachedcaps = get_cached_capabilities($component);
1319     if ($cachedcaps) {
1320         foreach ($cachedcaps as $cachedcap) {
1321             array_push($storedcaps, $cachedcap->name);
1322             // update risk bitmasks in existing capabilitites if needed
1323             if (array_key_exists($cachedcap->name, $filecaps)) {
1324                 if (!array_key_exists('riskbitmask', $filecaps[$cachedcap->name])) {
1325                     $filecaps[$cachedcap->name]['riskbitmask'] = 0; // no risk if not specified
1326                 }
1327                 if ($cachedcap->riskbitmask != $filecaps[$cachedcap->name]['riskbitmask']) {
1328                     $updatecap = new object;
1329                     $updatecap->id = $cachedcap->id;
1330                     $updatecap->riskbitmask = $filecaps[$cachedcap->name]['riskbitmask'];
1331                     if (!update_record('capabilities', $updatecap)) {
1332                         return false;
1333                     }
1334                 }
1335             }
1336         }
1337     }
1339     // Are there new capabilities in the file definition?
1340     $newcaps = array();
1341     
1342     foreach ($filecaps as $filecap => $def) {
1343         if (!$storedcaps || 
1344                 ($storedcaps && in_array($filecap, $storedcaps) === false)) {
1345             if (!array_key_exists('riskbitmask', $def)) {
1346                 $def['riskbitmask'] = 0; // no risk if not specified
1347             }
1348             $newcaps[$filecap] = $def;
1349         }
1350     }
1351     // Add new capabilities to the stored definition.
1352     foreach ($newcaps as $capname => $capdef) {
1353         $capability = new object;
1354         $capability->name = $capname;
1355         $capability->captype = $capdef['captype'];
1356         $capability->contextlevel = $capdef['contextlevel'];
1357         $capability->component = $component;
1358         $capability->riskbitmask = $capdef['riskbitmask'];
1359         
1360         if (!insert_record('capabilities', $capability, false, 'id')) {
1361             return false;
1362         }
1363         // Do we need to assign the new capabilities to roles that have the
1364         // legacy capabilities moodle/legacy:* as well?
1365         if (isset($capdef['legacy']) && is_array($capdef['legacy']) &&
1366                     !assign_legacy_capabilities($capname, $capdef['legacy'])) {
1367             error('Could not assign legacy capabilities');
1368             return false;
1369         }
1370     }
1371     // Are there any capabilities that have been removed from the file
1372     // definition that we need to delete from the stored capabilities and
1373     // role assignments?
1374     capabilities_cleanup($component, $filecaps);
1375     
1376     return true;
1380 /**
1381  * Deletes cached capabilities that are no longer needed by the component.
1382  * Also unassigns these capabilities from any roles that have them.
1383  * @param $component - examples: 'moodle', 'mod/forum', 'block/quiz_results'
1384  * @param $newcapdef - array of the new capability definitions that will be
1385  *                     compared with the cached capabilities
1386  * @return int - number of deprecated capabilities that have been removed
1387  */
1388 function capabilities_cleanup($component, $newcapdef=NULL) {
1389     
1390     $removedcount = 0;
1391     
1392     if ($cachedcaps = get_cached_capabilities($component)) {
1393         foreach ($cachedcaps as $cachedcap) {
1394             if (empty($newcapdef) ||
1395                         array_key_exists($cachedcap->name, $newcapdef) === false) {
1396             
1397                 // Remove from capabilities cache.
1398                 if (!delete_records('capabilities', 'name', $cachedcap->name)) {
1399                     error('Could not delete deprecated capability '.$cachedcap->name);
1400                 } else {
1401                     $removedcount++;
1402                 }
1403                 // Delete from roles.
1404                 if($roles = get_roles_with_capability($cachedcap->name)) {
1405                     foreach($roles as $role) {
1406                         if (!unassign_capability($role->id, $cachedcap->name)) {
1407                             error('Could not unassign deprecated capability '.
1408                                     $cachedcap->name.' from role '.$role->name);
1409                         }
1410                     }
1411                 }
1412             } // End if.
1413         }
1414     }
1415     return $removedcount;
1420 /****************
1421  * UI FUNCTIONS *
1422  ****************/
1425 /**
1426  * prints human readable context identifier.
1427  */
1428 function print_context_name($context) {
1430     $name = '';
1431     switch ($context->aggregatelevel) {
1433         case CONTEXT_SYSTEM: // by now it's a definite an inherit
1434             $name = get_string('site');
1435             break;
1437         case CONTEXT_PERSONAL:
1438             $name = get_string('personal');
1439             break;
1441         case CONTEXT_USERID:
1442             if ($user = get_record('user', 'id', $context->instanceid)) {
1443                 $name = get_string('user').': '.fullname($user);
1444             }
1445             break;
1447         case CONTEXT_COURSECAT: // Coursecat -> coursecat or site
1448             if ($category = get_record('course_categories', 'id', $context->instanceid)) {
1449                 $name = get_string('category').': '.$category->name;
1450             }
1451             break;
1453         case CONTEXT_COURSE: // 1 to 1 to course cat
1454             if ($course = get_record('course', 'id', $context->instanceid)) {
1455                 $name = get_string('course').': '.$course->fullname;
1456             }
1457             break;
1459         case CONTEXT_GROUP: // 1 to 1 to course
1460             if ($group = get_record('groups', 'id', $context->instanceid)) {
1461                 $name = get_string('group').': '.$group->name;
1462             }
1463             break;
1465         case CONTEXT_MODULE: // 1 to 1 to course
1466             if ($cm = get_record('course_modules','id',$context->instanceid)) {
1467                 if ($module = get_record('modules','id',$cm->module)) {
1468                     if ($mod = get_record($module->name, 'id', $cm->instance)) {
1469                         $name = get_string('activitymodule').': '.$mod->name;
1470                     }
1471                 }
1472             }
1473             break;
1475         case CONTEXT_BLOCK: // 1 to 1 to course
1476             if ($blockinstance = get_record('block_instance','id',$context->instanceid)) {
1477                 if ($block = get_record('block','id',$blockinstance->blockid)) {
1478                     global $CFG;
1479                     require_once("$CFG->dirroot/blocks/moodleblock.class.php");
1480                     require_once("$CFG->dirroot/blocks/$block->name/block_$block->name.php");
1481                     $blockname = "block_$block->name";
1482                     if ($blockobject = new $blockname()) {
1483                         $name = $blockobject->title.' ('.get_string('block').')';
1484                     }
1485                 }
1486             }
1487             break;
1489         default:
1490             error ('This is an unknown context!');
1491             return false;
1493     }
1494     return $name;
1498 /**
1499  * Extracts the relevant capabilities given a contextid. 
1500  * All case based, example an instance of forum context.
1501  * Will fetch all forum related capabilities, while course contexts
1502  * Will fetch all capabilities
1503  * @param object context
1504  * @return array();
1505  *
1506  *  capabilities
1507  * `name` varchar(150) NOT NULL,
1508  * `captype` varchar(50) NOT NULL,
1509  * `contextlevel` int(10) NOT NULL,
1510  * `component` varchar(100) NOT NULL,
1511  */
1512 function fetch_context_capabilities($context) {
1513       
1514     global $CFG;
1516     $sort = 'ORDER BY contextlevel,component,id';   // To group them sensibly for display
1517       
1518     switch ($context->aggregatelevel) {
1520         case CONTEXT_SYSTEM: // all
1521             $SQL = "select * from {$CFG->prefix}capabilities";
1522         break;
1524         case CONTEXT_PERSONAL:
1525             $SQL = "select * from {$CFG->prefix}capabilities where contextlevel = ".CONTEXT_PERSONAL;
1526         break;
1527         
1528         case CONTEXT_USERID:
1529             $SQL = "select * from {$CFG->prefix}capabilities where contextlevel = ".CONTEXT_USERID;
1530         break;
1531         
1532         case CONTEXT_COURSECAT: // all
1533             $SQL = "select * from {$CFG->prefix}capabilities";
1534         break;
1536         case CONTEXT_COURSE: // all
1537             $SQL = "select * from {$CFG->prefix}capabilities";
1538         break;
1540         case CONTEXT_GROUP: // group caps
1541         break;
1543         case CONTEXT_MODULE: // mod caps
1544             $cm = get_record('course_modules', 'id', $context->instanceid);
1545             $module = get_record('modules', 'id', $cm->module);
1546         
1547             $SQL = "select * from {$CFG->prefix}capabilities where contextlevel = ".CONTEXT_MODULE."
1548                     and component = 'mod/$module->name'";
1549         break;
1551         case CONTEXT_BLOCK: // block caps
1552             $cb = get_record('block_instance', 'id', $context->instanceid);
1553             $block = get_record('block', 'id', $cb->blockid);
1554         
1555             $SQL = "select * from {$CFG->prefix}capabilities where contextlevel = ".CONTEXT_BLOCK."
1556                     and component = 'block/$block->name'";
1557         break;
1559         default:
1560         return false;
1561     }
1563     $records = get_records_sql($SQL.' '.$sort);
1564     return $records;
1565     
1569 /**
1570  * This function pulls out all the resolved capabilities (overrides and
1571  * defaults) of a role used in capability overrieds in contexts at a given
1572  * context.
1573  * @param obj $context
1574  * @param int $roleid
1575  * @return array
1576  */
1577 function role_context_capabilities($roleid, $context, $cap='') {
1578     global $CFG; 
1579     
1580     $sitecontext = get_context_instance(CONTEXT_SYSTEM, SITEID);
1581     if ($sitecontext->id == $context->id) {
1582         $contexts = array($sitecontext->id);  
1583     } else {
1584         // first of all, figure out all parental contexts
1585         $contexts = array_reverse(get_parent_contexts($context));
1586     }
1587     $contexts = '('.implode(',', $contexts).')';
1588     
1589     if ($cap) {
1590         $search = " AND rc.capability = '$cap' ";
1591     } else {
1592         $search = '';  
1593     }
1594     
1595     $SQL = "SELECT rc.* FROM {$CFG->prefix}role_capabilities rc, {$CFG->prefix}context c
1596             where rc.contextid in $contexts
1597             and rc.roleid = $roleid
1598             and rc.contextid = c.id $search
1599             ORDER BY c.aggregatelevel DESC, rc.capability DESC";
1600   
1601     $capabilities = array();
1602     
1603     if ($records = get_records_sql($SQL)) {
1604         // We are traversing via reverse order.
1605         foreach ($records as $record) {
1606             // If not set yet (i.e. inherit or not set at all), or currently we have a prohibit
1607             if (!isset($capabilities[$record->capability]) || $record->permission<-500) {
1608                 $capabilities[$record->capability] = $record->permission;
1609             }  
1610         }
1611     }
1612     return $capabilities;
1616 /**
1617  * Recursive function which, given a context, find all parent context ids, 
1618  * and return the array in reverse order, i.e. parent first, then grand
1619  * parent, etc.
1620  * @param object $context
1621  * @return array()
1622  */
1623 function get_parent_contexts($context) {
1624   
1625     switch ($context->aggregatelevel) {
1627         case CONTEXT_SYSTEM: // no parent
1628             return array();
1629         break;
1631         case CONTEXT_PERSONAL:
1632             if (!$parent = get_context_instance(CONTEXT_SYSTEM, SITEID)) {
1633                 return array();
1634             } else {
1635                 return array($parent->id);
1636             }
1637         break;
1638         
1639         case CONTEXT_USERID:
1640             if (!$parent = get_context_instance(CONTEXT_SYSTEM, SITEID)) {
1641                 return array();
1642             } else {
1643                 return array($parent->id);
1644             }
1645         break;
1646         
1647         case CONTEXT_COURSECAT: // Coursecat -> coursecat or site
1648             if (!$coursecat = get_record('course_categories','id',$context->instanceid)) {
1649                 return array();
1650             }
1651             if (!empty($coursecat->parent)) { // return parent value if exist
1652                 $parent = get_context_instance(CONTEXT_COURSECAT, $coursecat->parent);
1653                 return array_merge(array($parent->id), get_parent_contexts($parent));
1654             } else { // else return site value
1655                 $parent = get_context_instance(CONTEXT_SYSTEM, SITEID);
1656                 return array($parent->id);
1657             }
1658         break;
1660         case CONTEXT_COURSE: // 1 to 1 to course cat
1661             if (!$course = get_record('course','id',$context->instanceid)) {
1662                 return array();
1663             }
1664             if (!empty($course->category)) {
1665                 $parent = get_context_instance(CONTEXT_COURSECAT, $course->category);
1666                 return array_merge(array($parent->id), get_parent_contexts($parent));
1667             } else {
1668                 return array();
1669             }
1670         break;
1672         case CONTEXT_GROUP: // 1 to 1 to course
1673             if (!$group = get_record('groups','id',$context->instanceid)) {
1674                 return array();
1675             }
1676             if ($parent = get_context_instance(CONTEXT_COURSE, $group->courseid)) {
1677                 return array_merge(array($parent->id), get_parent_contexts($parent));
1678             } else {
1679                 return array();
1680             }
1681         break;
1683         case CONTEXT_MODULE: // 1 to 1 to course
1684             if (!$cm = get_record('course_modules','id',$context->instanceid)) {
1685                 return array();
1686             }
1687             if ($parent = get_context_instance(CONTEXT_COURSE, $cm->course)) {
1688                 return array_merge(array($parent->id), get_parent_contexts($parent));
1689             } else {
1690                 return array();
1691             }
1692         break;
1694         case CONTEXT_BLOCK: // 1 to 1 to course
1695             if (!$block = get_record('block_instance','id',$context->instanceid)) {
1696                 return array();
1697             }
1698             if ($parent = get_context_instance(CONTEXT_COURSE, $block->pageid)) {
1699                 return array_merge(array($parent->id), get_parent_contexts($parent));
1700             } else {
1701                 return array();
1702             }
1703         break;
1705         default:
1706             error('This is an unknown context!');
1707         return false;
1708     }
1712 /**
1713  * This function gets the capability of a role in a given context.
1714  * It is needed when printing override forms.
1715  * @param int $contextid
1716  * @param string $capability
1717  * @param array $capabilities - array loaded using role_context_capabilities
1718  * @return int (allow, prevent, prohibit, inherit)
1719  */
1720 function get_role_context_capability($contextid, $capability, $capabilities) {
1721     return $capabilities[$contextid][$capability];
1725 /**
1726  * Returns the human-readable, translated version of the capability.
1727  * Basically a big switch statement.
1728  * @param $capabilityname - e.g. mod/choice:readresponses
1729  */
1730 function get_capability_string($capabilityname) {
1732     // Typical capabilityname is mod/choice:readresponses
1734     $names = split('/', $capabilityname);
1735     $stringname = $names[1];                 // choice:readresponses
1736     $components = split(':', $stringname);   
1737     $componentname = $components[0];               // choice
1739     switch ($names[0]) {
1740         case 'mod':
1741             $string = get_string($stringname, $componentname);
1742         break;
1743         
1744         case 'block':
1745             $string = get_string($stringname, 'block_'.$componentname);
1746         break;
1748         case 'moodle':
1749             $string = get_string($stringname, 'role');
1750         break;
1751         
1752         case 'enrol':
1753             $string = get_string($stringname, 'enrol_'.$componentname);
1754         break;  
1755         
1756         default:
1757             $string = get_string($stringname);
1758         break;  
1759       
1760     }
1761     return $string;
1765 /**
1766  * This gets the mod/block/course/core etc strings.
1767  * @param $component
1768  * @param $contextlevel
1769  */
1770 function get_component_string($component, $contextlevel) {
1772     switch ($contextlevel) {
1774         case CONTEXT_SYSTEM:
1775             $string = get_string('coresystem');
1776         break;
1778         case CONTEXT_PERSONAL:
1779             $string = get_string('personal');
1780         break;
1782         case CONTEXT_USERID:
1783             $string = get_string('users');
1784         break;
1786         case CONTEXT_COURSECAT:
1787             $string = get_string('categories');
1788         break;
1790         case CONTEXT_COURSE:
1791             $string = get_string('course');
1792         break;
1794         case CONTEXT_GROUP:
1795             $string = get_string('group');
1796         break;
1798         case CONTEXT_MODULE:
1799             $string = get_string('modulename', basename($component));
1800         break;
1802         case CONTEXT_BLOCK:
1803             $string = get_string('blockname', 'block_'.$component.'.php');
1804         break;
1806         default:
1807             error ('This is an unknown context!');
1808         return false;
1809       
1810     }
1811     return $string;
1814 /** gets the list of roles assigned to this context
1815  * @param object $context
1816  * @return array
1817  */
1818 function get_roles_used_in_context($context) {
1820     global $CFG;
1822     return get_records_sql('SELECT distinct r.id, r.name 
1823                               FROM '.$CFG->prefix.'role_assignments ra,
1824                                    '.$CFG->prefix.'role r 
1825                              WHERE r.id = ra.roleid 
1826                                AND ra.contextid = '.$context->id.' 
1827                              ORDER BY r.sortorder ASC');
1830 /** this function is used to print roles column in user profile page. 
1831  * @param int userid
1832  * @param int contextid
1833  * @return string
1834  */
1835 function get_user_roles_in_context($userid, $contextid){
1836     global $CFG;
1837     
1838     $rolestring = '';
1839     $SQL = 'select * from '.$CFG->prefix.'role_assignments ra, '.$CFG->prefix.'role r where ra.userid='.$userid.' and ra.contextid='.$contextid.' and ra.roleid = r.id';
1840     if ($roles = get_records_sql($SQL)) {
1841         foreach ($roles as $userrole) {
1842             $rolestring .= '<a href="'.$CFG->wwwroot.'/user/index.php?contextid='.$userrole->contextid.'&amp;roleid='.$userrole->roleid.'">'.$userrole->name.'</a>, ';
1843         }   
1844         
1845     }
1846     return rtrim($rolestring, ', ');
1850 /**
1851  * Checks if a user can override capabilities of a particular role in this context
1852  * @param object $context
1853  * @param int targetroleid - the id of the role you want to override
1854  * @return boolean
1855  */
1856 function user_can_override($context, $targetroleid) {
1857     // first check if user has override capability
1858     // if not return false;
1859     if (!has_capability('moodle/role:override', $context)) {
1860         return false;  
1861     }
1862     // pull out all active roles of this user from this context(or above)
1863     if ($userroles = get_user_roles($context)) {
1864         foreach ($userroles as $userrole) {
1865             // if any in the role_allow_override table, then it's ok
1866             if (get_record('role_allow_override', 'roleid', $userrole->roleid, 'allowoverride', $targetroleid)) {
1867                 return true;
1868             }
1869         }
1870     }
1871     
1872     return false;
1873   
1876 /**
1877  * Checks if a user can assign users to a particular role in this context
1878  * @param object $context
1879  * @param int targetroleid - the id of the role you want to assign users to
1880  * @return boolean
1881  */
1882 function user_can_assign($context, $targetroleid) {
1883     
1884     // first check if user has override capability
1885     // if not return false;
1886     if (!has_capability('moodle/role:assign', $context)) {
1887         return false;  
1888     }
1889     // pull out all active roles of this user from this context(or above)
1890     if ($userroles = get_user_roles($context)) {
1891         foreach ($userroles as $userrole) {
1892             // if any in the role_allow_override table, then it's ok
1893             if (get_record('role_allow_assign', 'roleid', $userrole->roleid, 'allowassign', $targetroleid)) {
1894                 return true;
1895             }
1896         }
1897     }
1898     
1899     return false; 
1902 /**
1903  * gets all the user roles assigned in this context, or higher contexts
1904  * this is mainly used when checking if a user can assign a role, or overriding a role
1905  * i.e. we need to know what this user holds, in order to verify against allow_assign and
1906  * allow_override tables
1907  * @param object $context
1908  * @param int $userid
1909  * @return array
1910  */
1911 function get_user_roles($context, $userid=0) {
1913     global $USER, $CFG, $db;
1915     if (empty($userid)) {
1916         if (empty($USER->id)) {
1917             return array();
1918         }
1919         $userid = $USER->id;
1920     }
1922     if ($parents = get_parent_contexts($context)) {
1923         $contexts = ' AND ra.contextid IN ('.implode(',' , $parents).')';
1924     } else {
1925         $contexts = ' AND ra.contextid = \''.$context->id.'\'';
1926     }
1928     return get_records_sql('SELECT *
1929                              FROM '.$CFG->prefix.'role_assignments ra
1930                              WHERE ra.userid = '.$userid.
1931                              $contexts);
1934 /**
1935  * Creates a record in the allow_override table 
1936  * @param int sroleid - source roleid
1937  * @param int troleid - target roleid
1938  * @return int - id or false
1939  */
1940 function allow_override($sroleid, $troleid) {
1941     $record->roleid = $sroleid;
1942     $record->allowoverride = $troleid;
1943     return insert_record('role_allow_override', $record);
1946 /**
1947  * Creates a record in the allow_assign table 
1948  * @param int sroleid - source roleid
1949  * @param int troleid - target roleid
1950  * @return int - id or false
1951  */
1952 function allow_assign($sroleid, $troleid) {
1953     $record->roleid = $sroleid;
1954     $record->allowassign = $troleid;
1955     return insert_record('role_allow_assign', $record);
1958 /**
1959  * gets a list of roles assignalbe in this context for this user
1960  * @param object $context
1961  * @return array
1962  */
1963 function get_assignable_roles ($context) {
1965     $role = get_records('role');
1966     $options = array();
1967     foreach ($role as $rolex) {
1968         if (user_can_assign($context, $rolex->id)) {
1969             $options[$rolex->id] = $rolex->name;
1970         }
1971     }
1972     return $options;
1975 /**
1976  * gets a list of roles that can be overriden in this context by this user
1977  * @param object $context
1978  * @return array
1979  */
1980 function get_overridable_roles ($context) {
1982     $role = get_records('role');
1983     $options = array();
1984     foreach ($role as $rolex) {
1985         if (user_can_override($context, $rolex->id)) {
1986             $options[$rolex->id] = $rolex->name;
1987         }
1988     } 
1989     
1990     return $options;  
1991   
1995 /**
1996  * who has this capability in this context
1997  * does not handling user level resolving!!!
1998  * i.e 1 person has 2 roles 1 allow, 1 prevent, this will not work properly
1999  * @param $context - object
2000  * @param $capability - string capability
2001  * @param $fields - fields to be pulled
2002  * @param $sort - the sort order
2003  * @param $limitfrom - number of records to skip (offset)
2004  * @param $limitnum - number of records to fetch 
2005  */
2006 function get_users_by_capability($context, $capability, $fields='u.*', $sort='', $limitfrom='', $limitnum='') {
2007     
2008     global $CFG;
2009     
2010     // first get all roles with this capability in this context, or above
2011     $possibleroles = get_roles_with_capability($capability, CAP_ALLOW);
2012     $validroleids = array();
2013     foreach ($possibleroles as $prole) {
2014         $caps = role_context_capabilities($prole->id, $context, $capability); // resolved list
2015         if ($caps[$capability] > 0) { // resolved capability > 0
2016             $validroleids[] = $prole->id;
2017         }
2018     }
2019     
2020     if ($usercontexts = get_parent_contexts($context)) {
2021         $listofcontexts = '('.implode(',', $usercontexts).')';
2022     } else {
2023         $sitecontext = get_context_instance(CONTEXT_SYSTEM, SITEID);
2024         $listofcontexts = '('.$sitecontext->id.')'; // must be site  
2025     }
2026     
2027     $roleids =  '('.implode(',', $validroleids).')';
2028     
2029     $select = ' SELECT '.$fields;
2030     $from   = ' FROM '.$CFG->prefix.'user u LEFT JOIN '.$CFG->prefix.'role_assignments ra ON ra.userid = u.id ';
2031     $where  = ' WHERE (ra.contextid = '.$context->id.' OR ra.contextid in '.$listofcontexts.') AND u.deleted = 0 AND ra.roleid in '.$roleids.' ';    
2033     return get_records_sql($select.$from.$where.$sort, $limitfrom, $limitnum);  
2037 ?>