7675457a1d5b1800d0b8155a75c5e2e1e6d9b0dc
[moodle.git] / lib / accesslib.php
1 <?php
3 // This file is part of Moodle - http://moodle.org/
4 //
5 // Moodle is free software: you can redistribute it and/or modify
6 // it under the terms of the GNU General Public License as published by
7 // the Free Software Foundation, either version 3 of the License, or
8 // (at your option) any later version.
9 //
10 // Moodle is distributed in the hope that it will be useful,
11 // but WITHOUT ANY WARRANTY; without even the implied warranty of
12 // MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
13 // GNU General Public License for more details.
14 //
15 // You should have received a copy of the GNU General Public License
16 // along with Moodle.  If not, see <http://www.gnu.org/licenses/>.
18 /**
19  * This file contains functions for managing user access
20  *
21  * <b>Public API vs internals</b>
22  *
23  * General users probably only care about
24  *
25  * Context handling
26  * - get_context_instance()
27  * - get_context_instance_by_id()
28  * - get_parent_contexts()
29  * - get_child_contexts()
30  *
31  * Whether the user can do something...
32  * - has_capability()
33  * - has_any_capability()
34  * - has_all_capabilities()
35  * - require_capability()
36  * - require_login() (from moodlelib)
37  *
38  * What courses has this user access to?
39  * - get_user_courses_bycap()
40  *
41  * What users can do X in this context?
42  * - get_users_by_capability()
43  *
44  * Enrol/unenrol
45  * - enrol_into_course()
46  * - role_assign()/role_unassign()
47  *
48  *
49  * Advanced use
50  * - load_all_capabilities()
51  * - reload_all_capabilities()
52  * - has_capability_in_accessdata()
53  * - is_siteadmin()
54  * - get_user_access_sitewide()
55  * - load_subcontext()
56  * - get_role_access_bycontext()
57  *
58  * <b>Name conventions</b>
59  *
60  * "ctx" means context
61  *
62  * <b>accessdata</b>
63  *
64  * Access control data is held in the "accessdata" array
65  * which - for the logged-in user, will be in $USER->access
66  *
67  * For other users can be generated and passed around (but may also be cached
68  * against userid in $ACCESSLIB_PRIVATE->accessdatabyuser.
69  *
70  * $accessdata is a multidimensional array, holding
71  * role assignments (RAs), role-capabilities-perm sets
72  * (role defs) and a list of courses we have loaded
73  * data for.
74  *
75  * Things are keyed on "contextpaths" (the path field of
76  * the context table) for fast walking up/down the tree.
77  * <code>
78  * $accessdata[ra][$contextpath]= array($roleid)
79  *                [$contextpath]= array($roleid)
80  *                [$contextpath]= array($roleid)
81  * </code>
82  *
83  * Role definitions are stored like this
84  * (no cap merge is done - so it's compact)
85  *
86  * <code>
87  * $accessdata[rdef][$contextpath:$roleid][mod/forum:viewpost] = 1
88  *                                        [mod/forum:editallpost] = -1
89  *                                        [mod/forum:startdiscussion] = -1000
90  * </code>
91  *
92  * See how has_capability_in_accessdata() walks up/down the tree.
93  *
94  * Normally - specially for the logged-in user, we only load
95  * rdef and ra down to the course level, but not below. This
96  * keeps accessdata small and compact. Below-the-course ra/rdef
97  * are loaded as needed. We keep track of which courses we
98  * have loaded ra/rdef in
99  * <code>
100  * $accessdata[loaded] = array($contextpath, $contextpath)
101  * </code>
102  *
103  * <b>Stale accessdata</b>
104  *
105  * For the logged-in user, accessdata is long-lived.
106  *
107  * On each pageload we load $ACCESSLIB_PRIVATE->dirtycontexts which lists
108  * context paths affected by changes. Any check at-or-below
109  * a dirty context will trigger a transparent reload of accessdata.
110  *
111  * Changes at the system level will force the reload for everyone.
112  *
113  * <b>Default role caps</b>
114  * The default role assignment is not in the DB, so we
115  * add it manually to accessdata.
116  *
117  * This means that functions that work directly off the
118  * DB need to ensure that the default role caps
119  * are dealt with appropriately.
120  *
121  * @package    core
122  * @subpackage role
123  * @copyright  1999 onwards Martin Dougiamas  http://dougiamas.com
124  * @license    http://www.gnu.org/copyleft/gpl.html GNU GPL v3 or later
125  */
127 defined('MOODLE_INTERNAL') || die();
129 /** permission definitions */
130 define('CAP_INHERIT', 0);
131 /** permission definitions */
132 define('CAP_ALLOW', 1);
133 /** permission definitions */
134 define('CAP_PREVENT', -1);
135 /** permission definitions */
136 define('CAP_PROHIBIT', -1000);
138 /** context definitions */
139 define('CONTEXT_SYSTEM', 10);
140 /** context definitions */
141 define('CONTEXT_USER', 30);
142 /** context definitions */
143 define('CONTEXT_COURSECAT', 40);
144 /** context definitions */
145 define('CONTEXT_COURSE', 50);
146 /** context definitions */
147 define('CONTEXT_MODULE', 70);
148 /** context definitions */
149 define('CONTEXT_BLOCK', 80);
151 /** capability risks - see {@link http://docs.moodle.org/en/Development:Hardening_new_Roles_system} */
152 define('RISK_MANAGETRUST', 0x0001);
153 /** capability risks - see {@link http://docs.moodle.org/en/Development:Hardening_new_Roles_system} */
154 define('RISK_CONFIG',      0x0002);
155 /** capability risks - see {@link http://docs.moodle.org/en/Development:Hardening_new_Roles_system} */
156 define('RISK_XSS',         0x0004);
157 /** capability risks - see {@link http://docs.moodle.org/en/Development:Hardening_new_Roles_system} */
158 define('RISK_PERSONAL',    0x0008);
159 /** capability risks - see {@link http://docs.moodle.org/en/Development:Hardening_new_Roles_system} */
160 define('RISK_SPAM',        0x0010);
161 /** capability risks - see {@link http://docs.moodle.org/en/Development:Hardening_new_Roles_system} */
162 define('RISK_DATALOSS',    0x0020);
164 /** rolename displays - the name as defined in the role definition */
165 define('ROLENAME_ORIGINAL', 0);
166 /** rolename displays - the name as defined by a role alias */
167 define('ROLENAME_ALIAS', 1);
168 /** rolename displays - Both, like this:  Role alias (Original)*/
169 define('ROLENAME_BOTH', 2);
170 /** rolename displays - the name as defined in the role definition and the shortname in brackets*/
171 define('ROLENAME_ORIGINALANDSHORT', 3);
172 /** rolename displays - the name as defined by a role alias, in raw form suitable for editing*/
173 define('ROLENAME_ALIAS_RAW', 4);
174 /** rolename displays - the name is simply short role name*/
175 define('ROLENAME_SHORT', 5);
177 /** size limit for context cache */
178 if (!defined('MAX_CONTEXT_CACHE_SIZE')) {
179     define('MAX_CONTEXT_CACHE_SIZE', 5000);
182 /**
183  * Although this looks like a global variable, it isn't really.
184  *
185  * It is just a private implementation detail to accesslib that MUST NOT be used elsewhere.
186  * It is used to cache various bits of data between function calls for performance reasons.
187  * Sadly, a PHP global variable is the only way to implement this, without rewriting everything
188  * as methods of a class, instead of functions.
189  *
190  * @global stdClass $ACCESSLIB_PRIVATE
191  * @name $ACCESSLIB_PRIVATE
192  */
193 global $ACCESSLIB_PRIVATE;
194 $ACCESSLIB_PRIVATE = new stdClass;
195 $ACCESSLIB_PRIVATE->contexts = array(); // Cache of context objects by level and instance
196 $ACCESSLIB_PRIVATE->contextsbyid = array(); // Cache of context objects by id
197 $ACCESSLIB_PRIVATE->systemcontext = NULL; // Used in get_system_context
198 $ACCESSLIB_PRIVATE->dirtycontexts = NULL; // Dirty contexts cache
199 $ACCESSLIB_PRIVATE->accessdatabyuser = array(); // Holds the $accessdata structure for users other than $USER
200 $ACCESSLIB_PRIVATE->roledefinitions = array(); // role definitions cache - helps a lot with mem usage in cron
201 $ACCESSLIB_PRIVATE->croncache = array(); // Used in get_role_access
202 $ACCESSLIB_PRIVATE->preloadedcourses = array(); // Used in preload_course_contexts.
203 $ACCESSLIB_PRIVATE->capabilities = NULL; // detailed information about the capabilities
205 /**
206  * Clears accesslib's private caches. ONLY BE USED BY UNIT TESTS
207  *
208  * This method should ONLY BE USED BY UNIT TESTS. It clears all of
209  * accesslib's private caches. You need to do this before setting up test data,
210  * and also at the end of the tests.
211  * @global object
212  * @global object
213  * @global object
214  */
215 function accesslib_clear_all_caches_for_unit_testing() {
216     global $UNITTEST, $USER, $ACCESSLIB_PRIVATE;
217     if (empty($UNITTEST->running)) {
218         throw new coding_exception('You must not call clear_all_caches outside of unit tests.');
219     }
220     $ACCESSLIB_PRIVATE->contexts = array();
221     $ACCESSLIB_PRIVATE->contextsbyid = array();
222     $ACCESSLIB_PRIVATE->systemcontext = NULL;
223     $ACCESSLIB_PRIVATE->dirtycontexts = NULL;
224     $ACCESSLIB_PRIVATE->accessdatabyuser = array();
225     $ACCESSLIB_PRIVATE->roledefinitions = array();
226     $ACCESSLIB_PRIVATE->croncache = array();
227     $ACCESSLIB_PRIVATE->preloadedcourses = array();
228     $ACCESSLIB_PRIVATE->capabilities = NULL;
230     unset($USER->access);
233 /**
234  * Private function. Add a context object to accesslib's caches.
235  * @global object
236  * @param object $context
237  */
238 function cache_context($context) {
239     global $ACCESSLIB_PRIVATE;
241     // If there are too many items in the cache already, remove items until
242     // there is space
243     while (count($ACCESSLIB_PRIVATE->contextsbyid) >= MAX_CONTEXT_CACHE_SIZE) {
244         $first = reset($ACCESSLIB_PRIVATE->contextsbyid);
245         unset($ACCESSLIB_PRIVATE->contextsbyid[$first->id]);
246         unset($ACCESSLIB_PRIVATE->contexts[$first->contextlevel][$first->instanceid]);
247     }
249     $ACCESSLIB_PRIVATE->contexts[$context->contextlevel][$context->instanceid] = $context;
250     $ACCESSLIB_PRIVATE->contextsbyid[$context->id] = $context;
253 /**
254  * This is really slow!!! do not use above course context level
255  *
256  * @global object
257  * @param int $roleid
258  * @param object $context
259  * @return array
260  */
261 function get_role_context_caps($roleid, $context) {
262     global $DB;
264     //this is really slow!!!! - do not use above course context level!
265     $result = array();
266     $result[$context->id] = array();
268     // first emulate the parent context capabilities merging into context
269     $searchcontexts = array_reverse(get_parent_contexts($context));
270     array_push($searchcontexts, $context->id);
271     foreach ($searchcontexts as $cid) {
272         if ($capabilities = $DB->get_records('role_capabilities', array('roleid'=>$roleid, 'contextid'=>$cid))) {
273             foreach ($capabilities as $cap) {
274                 if (!array_key_exists($cap->capability, $result[$context->id])) {
275                     $result[$context->id][$cap->capability] = 0;
276                 }
277                 $result[$context->id][$cap->capability] += $cap->permission;
278             }
279         }
280     }
282     // now go through the contexts bellow given context
283     $searchcontexts = array_keys(get_child_contexts($context));
284     foreach ($searchcontexts as $cid) {
285         if ($capabilities = $DB->get_records('role_capabilities', array('roleid'=>$roleid, 'contextid'=>$cid))) {
286             foreach ($capabilities as $cap) {
287                 if (!array_key_exists($cap->contextid, $result)) {
288                     $result[$cap->contextid] = array();
289                 }
290                 $result[$cap->contextid][$cap->capability] = $cap->permission;
291             }
292         }
293     }
295     return $result;
298 /**
299  * Gets the accessdata for role "sitewide" (system down to course)
300  *
301  * @global object
302  * @global object
303  * @param int $roleid
304  * @param array $accessdata defaults to NULL
305  * @return array
306  */
307 function get_role_access($roleid, $accessdata=NULL) {
309     global $CFG, $DB;
311     /* Get it in 1 cheap DB query...
312      * - relevant role caps at the root and down
313      *   to the course level - but not below
314      */
315     if (is_null($accessdata)) {
316         $accessdata           = array(); // named list
317         $accessdata['ra']     = array();
318         $accessdata['rdef']   = array();
319         $accessdata['loaded'] = array();
320     }
322     //
323     // Overrides for the role IN ANY CONTEXTS
324     // down to COURSE - not below -
325     //
326     $sql = "SELECT ctx.path,
327                    rc.capability, rc.permission
328               FROM {context} ctx
329               JOIN {role_capabilities} rc
330                    ON rc.contextid=ctx.id
331              WHERE rc.roleid = ?
332                    AND ctx.contextlevel <= ".CONTEXT_COURSE."
333           ORDER BY ctx.depth, ctx.path";
334     $params = array($roleid);
336     // we need extra caching in CLI scripts and cron
337     if (CLI_SCRIPT) {
338         global $ACCESSLIB_PRIVATE;
340         if (!isset($ACCESSLIB_PRIVATE->croncache[$roleid])) {
341             $ACCESSLIB_PRIVATE->croncache[$roleid] = array();
342             if ($rs = $DB->get_recordset_sql($sql, $params)) {
343                 foreach ($rs as $rd) {
344                     $ACCESSLIB_PRIVATE->croncache[$roleid][] = $rd;
345                 }
346                 $rs->close();
347             }
348         }
350         foreach ($ACCESSLIB_PRIVATE->croncache[$roleid] as $rd) {
351             $k = "{$rd->path}:{$roleid}";
352             $accessdata['rdef'][$k][$rd->capability] = $rd->permission;
353         }
355     } else {
356         if ($rs = $DB->get_recordset_sql($sql, $params)) {
357             foreach ($rs as $rd) {
358                 $k = "{$rd->path}:{$roleid}";
359                 $accessdata['rdef'][$k][$rd->capability] = $rd->permission;
360             }
361             unset($rd);
362             $rs->close();
363         }
364     }
366     return $accessdata;
369 /**
370  * Gets the accessdata for role "sitewide" (system down to course)
371  *
372  * @global object
373  * @global object
374  * @param int $roleid
375  * @param array $accessdata defaults to NULL
376  * @return array
377  */
378 function get_default_frontpage_role_access($roleid, $accessdata=NULL) {
380     global $CFG, $DB;
382     $frontpagecontext = get_context_instance(CONTEXT_COURSE, SITEID);
383     $base = '/'. SYSCONTEXTID .'/'. $frontpagecontext->id;
385     //
386     // Overrides for the role in any contexts related to the course
387     //
388     $sql = "SELECT ctx.path,
389                    rc.capability, rc.permission
390               FROM {context} ctx
391               JOIN {role_capabilities} rc
392                    ON rc.contextid=ctx.id
393              WHERE rc.roleid = ?
394                    AND (ctx.id = ".SYSCONTEXTID." OR ctx.path LIKE ?)
395                    AND ctx.contextlevel <= ".CONTEXT_COURSE."
396           ORDER BY ctx.depth, ctx.path";
397     $params = array($roleid, "$base/%");
399     if ($rs = $DB->get_recordset_sql($sql, $params)) {
400         foreach ($rs as $rd) {
401             $k = "{$rd->path}:{$roleid}";
402             $accessdata['rdef'][$k][$rd->capability] = $rd->permission;
403         }
404         unset($rd);
405         $rs->close();
406     }
408     return $accessdata;
412 /**
413  * Get the default guest role
414  *
415  * @global object
416  * @global object
417  * @return object role
418  */
419 function get_guest_role() {
420     global $CFG, $DB;
422     if (empty($CFG->guestroleid)) {
423         if ($roles = $DB->get_records('role', array('archetype'=>'guest'))) {
424             $guestrole = array_shift($roles);   // Pick the first one
425             set_config('guestroleid', $guestrole->id);
426             return $guestrole;
427         } else {
428             debugging('Can not find any guest role!');
429             return false;
430         }
431     } else {
432         if ($guestrole = $DB->get_record('role', array('id'=>$CFG->guestroleid))) {
433             return $guestrole;
434         } else {
435             //somebody is messing with guest roles, remove incorrect setting and try to find a new one
436             set_config('guestroleid', '');
437             return get_guest_role();
438         }
439     }
442 /**
443  * Check whether a user has a particular capability in a given context.
444  *
445  * For example::
446  *      $context = get_context_instance(CONTEXT_MODULE, $cm->id);
447  *      has_capability('mod/forum:replypost',$context)
448  *
449  * By default checks the capabilities of the current user, but you can pass a
450  * different userid. By default will return true for admin users, but you can override that with the fourth argument.
451  *
452  * Guest and not-logged-in users can never get any dangerous capability - that is any write capability
453  * or capabilities with XSS, config or data loss risks.
454  *
455  * @param string $capability the name of the capability to check. For example mod/forum:view
456  * @param object $context the context to check the capability in. You normally get this with {@link get_context_instance}.
457  * @param integer|object $user A user id or object. By default (NULL) checks the permissions of the current user.
458  * @param boolean $doanything If false, ignores effect of admin role assignment
459  * @return boolean true if the user has this capability. Otherwise false.
460  */
461 function has_capability($capability, $context, $user = NULL, $doanything=true) {
462     global $USER, $CFG, $DB, $SCRIPT, $ACCESSLIB_PRIVATE;
464     if (during_initial_install()) {
465         if ($SCRIPT === "/$CFG->admin/index.php" or $SCRIPT === "/$CFG->admin/cliupgrade.php") {
466             // we are in an installer - roles can not work yet
467             return true;
468         } else {
469             return false;
470         }
471     }
473     if (strpos($capability, 'moodle/legacy:') === 0) {
474         throw new coding_exception('Legacy capabilities can not be used any more!');
475     }
477     // the original $CONTEXT here was hiding serious errors
478     // for security reasons do not reuse previous context
479     if (empty($context)) {
480         debugging('Incorrect context specified');
481         return false;
482     }
483     if (!is_bool($doanything)) {
484         throw new coding_exception('Capability parameter "doanything" is wierd ("'.$doanything.'"). This has to be fixed in code.');
485     }
487     // make sure there is a real user specified
488     if ($user === NULL) {
489         $userid = !empty($USER->id) ? $USER->id : 0;
490     } else {
491         $userid = !empty($user->id) ? $user->id : $user;
492     }
494     // capability must exist
495     if (!$capinfo = get_capability_info($capability)) {
496         debugging('Capability "'.$capability.'" was not found! This should be fixed in code.');
497         return false;
498     }
499     // make sure the guest account and not-logged-in users never get any risky caps no matter what the actual settings are.
500     if (($capinfo->captype === 'write') or ((int)$capinfo->riskbitmask & (RISK_XSS | RISK_CONFIG | RISK_DATALOSS))) {
501         if (isguestuser($userid) or $userid == 0) {
502             return false;
503         }
504     }
506     if (is_null($context->path) or $context->depth == 0) {
507         //this should not happen
508         $contexts = array(SYSCONTEXTID, $context->id);
509         $context->path = '/'.SYSCONTEXTID.'/'.$context->id;
510         debugging('Context id '.$context->id.' does not have valid path, please use build_context_path()', DEBUG_DEVELOPER);
512     } else {
513         $contexts = explode('/', $context->path);
514         array_shift($contexts);
515     }
517     if (CLI_SCRIPT && !isset($USER->access)) {
518         // In cron, some modules setup a 'fake' $USER,
519         // ensure we load the appropriate accessdata.
520         if (isset($ACCESSLIB_PRIVATE->accessdatabyuser[$userid])) {
521             $ACCESSLIB_PRIVATE->dirtycontexts = NULL; //load fresh dirty contexts
522         } else {
523             load_user_accessdata($userid);
524             $ACCESSLIB_PRIVATE->dirtycontexts = array();
525         }
526         $USER->access = $ACCESSLIB_PRIVATE->accessdatabyuser[$userid];
528     } else if (isset($USER->id) && ($USER->id == $userid) && !isset($USER->access)) {
529         // caps not loaded yet - better to load them to keep BC with 1.8
530         // not-logged-in user or $USER object set up manually first time here
531         load_all_capabilities();
532         $ACCESSLIB_PRIVATE->accessdatabyuser = array(); // reset the cache for other users too, the dirty contexts are empty now
533         $ACCESSLIB_PRIVATE->roledefinitions = array();
534     }
536     // Load dirty contexts list if needed
537     if (!isset($ACCESSLIB_PRIVATE->dirtycontexts)) {
538         if (isset($USER->access['time'])) {
539             $ACCESSLIB_PRIVATE->dirtycontexts = get_dirty_contexts($USER->access['time']);
540         }
541         else {
542             $ACCESSLIB_PRIVATE->dirtycontexts = array();
543         }
544     }
546     // Careful check for staleness...
547     if (count($ACCESSLIB_PRIVATE->dirtycontexts) !== 0 and is_contextpath_dirty($contexts, $ACCESSLIB_PRIVATE->dirtycontexts)) {
548         // reload all capabilities - preserving loginas, roleswitches, etc
549         // and then cleanup any marks of dirtyness... at least from our short
550         // term memory! :-)
551         $ACCESSLIB_PRIVATE->accessdatabyuser = array();
552         $ACCESSLIB_PRIVATE->roledefinitions = array();
554         if (CLI_SCRIPT) {
555             load_user_accessdata($userid);
556             $USER->access = $ACCESSLIB_PRIVATE->accessdatabyuser[$userid];
557             $ACCESSLIB_PRIVATE->dirtycontexts = array();
559         } else {
560             reload_all_capabilities();
561         }
562     }
564     // Find out if user is admin - it is not possible to override the doanything in any way
565     // and it is not possible to switch to admin role either.
566     if ($doanything) {
567         if (is_siteadmin($userid)) {
568             if ($userid != $USER->id) {
569                 return true;
570             }
571             // make sure switchrole is not used in this context
572             if (empty($USER->access['rsw'])) {
573                 return true;
574             }
575             $parts = explode('/', trim($context->path, '/'));
576             $path = '';
577             $switched = false;
578             foreach ($parts as $part) {
579                 $path .= '/' . $part;
580                 if (!empty($USER->access['rsw'][$path])) {
581                     $switched = true;
582                     break;
583                 }
584             }
585             if (!$switched) {
586                 return true;
587             }
588             //ok, admin switched role in this context, let's use normal access control rules
589         }
590     }
592     // divulge how many times we are called
593     //// error_log("has_capability: id:{$context->id} path:{$context->path} userid:$userid cap:$capability");
595     if (isset($USER->id) && ($USER->id == $userid)) { // we must accept strings and integers in $userid
596         //
597         // For the logged in user, we have $USER->access
598         // which will have all RAs and caps preloaded for
599         // course and above contexts.
600         //
601         // Contexts below courses && contexts that do not
602         // hang from courses are loaded into $USER->access
603         // on demand, and listed in $USER->access[loaded]
604         //
605         if ($context->contextlevel <= CONTEXT_COURSE) {
606             // Course and above are always preloaded
607             return has_capability_in_accessdata($capability, $context, $USER->access);
608         }
609         // Load accessdata for below-the-course contexts
610         if (!path_inaccessdata($context->path,$USER->access)) {
611             // error_log("loading access for context {$context->path} for $capability at {$context->contextlevel} {$context->id}");
612             // $bt = debug_backtrace();
613             // error_log("bt {$bt[0]['file']} {$bt[0]['line']}");
614             load_subcontext($USER->id, $context, $USER->access);
615         }
616         return has_capability_in_accessdata($capability, $context, $USER->access);
617     }
619     if (!isset($ACCESSLIB_PRIVATE->accessdatabyuser[$userid])) {
620         load_user_accessdata($userid);
621     }
623     if ($context->contextlevel <= CONTEXT_COURSE) {
624         // Course and above are always preloaded
625         return has_capability_in_accessdata($capability, $context, $ACCESSLIB_PRIVATE->accessdatabyuser[$userid]);
626     }
627     // Load accessdata for below-the-course contexts as needed
628     if (!path_inaccessdata($context->path, $ACCESSLIB_PRIVATE->accessdatabyuser[$userid])) {
629         // error_log("loading access for context {$context->path} for $capability at {$context->contextlevel} {$context->id}");
630         // $bt = debug_backtrace();
631         // error_log("bt {$bt[0]['file']} {$bt[0]['line']}");
632         load_subcontext($userid, $context, $ACCESSLIB_PRIVATE->accessdatabyuser[$userid]);
633     }
634     return has_capability_in_accessdata($capability, $context, $ACCESSLIB_PRIVATE->accessdatabyuser[$userid]);
637 /**
638  * Check if the user has any one of several capabilities from a list.
639  *
640  * This is just a utility method that calls has_capability in a loop. Try to put
641  * the capabilities that most users are likely to have first in the list for best
642  * performance.
643  *
644  * There are probably tricks that could be done to improve the performance here, for example,
645  * check the capabilities that are already cached first.
646  *
647  * @see has_capability()
648  * @param array $capabilities an array of capability names.
649  * @param object $context the context to check the capability in. You normally get this with {@link get_context_instance}.
650  * @param integer $userid A user id. By default (NULL) checks the permissions of the current user.
651  * @param boolean $doanything If false, ignore effect of admin role assignment
652  * @return boolean true if the user has any of these capabilities. Otherwise false.
653  */
654 function has_any_capability($capabilities, $context, $userid=NULL, $doanything=true) {
655     if (!is_array($capabilities)) {
656         debugging('Incorrect $capabilities parameter in has_any_capabilities() call - must be an array');
657         return false;
658     }
659     foreach ($capabilities as $capability) {
660         if (has_capability($capability, $context, $userid, $doanything)) {
661             return true;
662         }
663     }
664     return false;
667 /**
668  * Check if the user has all the capabilities in a list.
669  *
670  * This is just a utility method that calls has_capability in a loop. Try to put
671  * the capabilities that fewest users are likely to have first in the list for best
672  * performance.
673  *
674  * There are probably tricks that could be done to improve the performance here, for example,
675  * check the capabilities that are already cached first.
676  *
677  * @see has_capability()
678  * @param array $capabilities an array of capability names.
679  * @param object $context the context to check the capability in. You normally get this with {@link get_context_instance}.
680  * @param integer $userid A user id. By default (NULL) checks the permissions of the current user.
681  * @param boolean $doanything If false, ignore effect of admin role assignment
682  * @return boolean true if the user has all of these capabilities. Otherwise false.
683  */
684 function has_all_capabilities($capabilities, $context, $userid=NULL, $doanything=true) {
685     if (!is_array($capabilities)) {
686         debugging('Incorrect $capabilities parameter in has_all_capabilities() call - must be an array');
687         return false;
688     }
689     foreach ($capabilities as $capability) {
690         if (!has_capability($capability, $context, $userid, $doanything)) {
691             return false;
692         }
693     }
694     return true;
697 /**
698  * Check if the user is an admin at the site level.
699  *
700  * Please note that use of proper capabilities is always encouraged,
701  * this function is supposed to be used from core or for temporary hacks.
702  *
703  * @param   int|object  $user_or_id user id or user object
704  * @returns bool true if user is one of the administrators, false otherwise
705  */
706 function is_siteadmin($user_or_id = NULL) {
707     global $CFG, $USER;
709     if ($user_or_id === NULL) {
710         $user_or_id = $USER;
711     }
713     if (empty($user_or_id)) {
714         return false;
715     }
716     if (!empty($user_or_id->id)) {
717         // we support
718         $userid = $user_or_id->id;
719     } else {
720         $userid = $user_or_id;
721     }
723     $siteadmins = explode(',', $CFG->siteadmins);
724     return in_array($userid, $siteadmins);
727 /**
728  * Returns true if user has at least one role assign
729  * of 'coursecontact' role (is potentially listed in some course descriptions).
730  * @param $userid
731  * @return unknown_type
732  */
733 function has_coursecontact_role($userid) {
734     global $DB, $CFG;
736     if (empty($CFG->coursecontact)) {
737         return false;
738     }
739     $sql = "SELECT 1
740               FROM {role_assignments}
741              WHERE userid = :userid AND roleid IN ($CFG->coursecontact)";
742     return $DB->record_exists($sql, array('userid'=>$userid));
745 /**
746  * @param string $path
747  * @return string
748  */
749 function get_course_from_path($path) {
750     // assume that nothing is more than 1 course deep
751     if (preg_match('!^(/.+)/\d+$!', $path, $matches)) {
752         return $matches[1];
753     }
754     return false;
757 /**
758  * @param string $path
759  * @param array $accessdata
760  * @return bool
761  */
762 function path_inaccessdata($path, $accessdata) {
763     if (empty($accessdata['loaded'])) {
764         return false;
765     }
767     // assume that contexts hang from sys or from a course
768     // this will only work well with stuff that hangs from a course
769     if (in_array($path, $accessdata['loaded'], true)) {
770             // error_log("found it!");
771         return true;
772     }
773     $base = '/' . SYSCONTEXTID;
774     while (preg_match('!^(/.+)/\d+$!', $path, $matches)) {
775         $path = $matches[1];
776         if ($path === $base) {
777             return false;
778         }
779         if (in_array($path, $accessdata['loaded'], true)) {
780             return true;
781         }
782     }
783     return false;
786 /**
787  * Does the user have a capability to do something?
788  *
789  * Walk the accessdata array and return true/false.
790  * Deals with prohibits, roleswitching, aggregating
791  * capabilities, etc.
792  *
793  * The main feature of here is being FAST and with no
794  * side effects.
795  *
796  * Notes:
797  *
798  * Switch Roles exits early
799  * ------------------------
800  * cap checks within a switchrole need to exit early
801  * in our bottom up processing so they don't "see" that
802  * there are real RAs that can do all sorts of things.
803  *
804  * Switch Role merges with default role
805  * ------------------------------------
806  * If you are a teacher in course X, you have at least
807  * teacher-in-X + defaultloggedinuser-sitewide. So in the
808  * course you'll have techer+defaultloggedinuser.
809  * We try to mimic that in switchrole.
810  *
811  * Permission evaluation
812  * ---------------------
813  * Originally there was an extremely complicated way
814  * to determine the user access that dealt with
815  * "locality" or role assignments and role overrides.
816  * Now we simply evaluate access for each role separately
817  * and then verify if user has at least one role with allow
818  * and at the same time no role with prohibit.
819  *
820  * @param string $capability
821  * @param object $context
822  * @param array $accessdata
823  * @return bool
824  */
825 function has_capability_in_accessdata($capability, $context, array $accessdata) {
826     global $CFG;
828     if (empty($context->id)) {
829         throw new coding_exception('Invalid context specified');
830     }
832     // Build $paths as a list of current + all parent "paths" with order bottom-to-top
833     $contextids = explode('/', trim($context->path, '/'));
834     $paths = array($context->path);
835     while ($contextids) {
836         array_pop($contextids);
837         $paths[] = '/' . implode('/', $contextids);
838     }
839     unset($contextids);
841     $roles = array();
842     $switchedrole = false;
844     // Find out if role switched
845     if (!empty($accessdata['rsw'])) {
846         // From the bottom up...
847         foreach ($paths as $path) {
848             if (isset($accessdata['rsw'][$path])) {
849                 // Found a switchrole assignment - check for that role _plus_ the default user role
850                 $roles = array($accessdata['rsw'][$path]=>NULL, $CFG->defaultuserroleid=>NULL);
851                 $switchedrole = true;
852                 break;
853             }
854         }
855     }
857     if (!$switchedrole) {
858         // get all users roles in this context and above
859         foreach ($paths as $path) {
860             if (isset($accessdata['ra'][$path])) {
861                 foreach ($accessdata['ra'][$path] as $roleid) {
862                     $roles[$roleid] = NULL;
863                 }
864             }
865         }
866     }
868     // Now find out what access is given to each role, going bottom-->up direction
869     foreach ($roles as $roleid => $ignored) {
870         foreach ($paths as $path) {
871             if (isset($accessdata['rdef']["{$path}:$roleid"][$capability])) {
872                 $perm = (int)$accessdata['rdef']["{$path}:$roleid"][$capability];
873                 if ($perm === CAP_PROHIBIT or is_null($roles[$roleid])) {
874                     $roles[$roleid] = $perm;
875                 }
876             }
877         }
878     }
879     // any CAP_PROHIBIT found means no permission for the user
880     if (array_search(CAP_PROHIBIT, $roles) !== false) {
881         return false;
882     }
884     // at least one CAP_ALLOW means the user has a permission
885     return (array_search(CAP_ALLOW, $roles) !== false);
888 /**
889  * @param object $context
890  * @param array $accessdata
891  * @return array
892  */
893 function aggregate_roles_from_accessdata($context, $accessdata) {
895     $path = $context->path;
897     // build $contexts as a list of "paths" of the current
898     // contexts and parents with the order top-to-bottom
899     $contexts = array($path);
900     while (preg_match('!^(/.+)/\d+$!', $path, $matches)) {
901         $path = $matches[1];
902         array_unshift($contexts, $path);
903     }
905     $cc = count($contexts);
907     $roles = array();
908     // From the bottom up...
909     for ($n=$cc-1;$n>=0;$n--) {
910         $ctxp = $contexts[$n];
911         if (isset($accessdata['ra'][$ctxp]) && count($accessdata['ra'][$ctxp])) {
912             // Found assignments on this leaf
913             $addroles = $accessdata['ra'][$ctxp];
914             $roles    = array_merge($roles, $addroles);
915         }
916     }
918     return array_unique($roles);
921 /**
922  * A convenience function that tests has_capability, and displays an error if
923  * the user does not have that capability.
924  *
925  * NOTE before Moodle 2.0, this function attempted to make an appropriate
926  * require_login call before checking the capability. This is no longer the case.
927  * You must call require_login (or one of its variants) if you want to check the
928  * user is logged in, before you call this function.
929  *
930  * @see has_capability()
931  *
932  * @param string $capability the name of the capability to check. For example mod/forum:view
933  * @param object $context the context to check the capability in. You normally get this with {@link get_context_instance}.
934  * @param integer $userid A user id. By default (NULL) checks the permissions of the current user.
935  * @param bool $doanything If false, ignore effect of admin role assignment
936  * @param string $errorstring The error string to to user. Defaults to 'nopermissions'.
937  * @param string $stringfile The language file to load the error string from. Defaults to 'error'.
938  * @return void terminates with an error if the user does not have the given capability.
939  */
940 function require_capability($capability, $context, $userid = NULL, $doanything = true,
941                             $errormessage = 'nopermissions', $stringfile = '') {
942     if (!has_capability($capability, $context, $userid, $doanything)) {
943         throw new required_capability_exception($context, $capability, $errormessage, $stringfile);
944     }
947 /**
948  * Get an array of courses where cap requested is available
949  * and user is enrolled, this can be relatively slow.
950  *
951  * @param string $capability - name of the capability
952  * @param array  $accessdata_ignored
953  * @param bool   $doanything_ignored
954  * @param string $sort - sorting fields - prefix each fieldname with "c."
955  * @param array  $fields - additional fields you are interested in...
956  * @param int    $limit_ignored
957  * @return array $courses - ordered array of course objects - see notes above
958  */
959 function get_user_courses_bycap($userid, $cap, $accessdata_ignored, $doanything_ignored, $sort='c.sortorder ASC', $fields=NULL, $limit_ignored=0) {
961     //TODO: this should be most probably deprecated
963     $courses = enrol_get_users_courses($userid, true, $fields, $sort);
964     foreach ($courses as $id=>$course) {
965         $context = get_context_instance(CONTEXT_COURSE, $id);
966         if (!has_capability($cap, $context, $userid)) {
967             unset($courses[$id]);
968         }
969     }
971     return $courses;
975 /**
976  * Return a nested array showing role assignments
977  * all relevant role capabilities for the user at
978  * site/course_category/course levels
979  *
980  * We do _not_ delve deeper than courses because the number of
981  * overrides at the module/block levels is HUGE.
982  *
983  * [ra]   => [/path/][]=roleid
984  * [rdef] => [/path/:roleid][capability]=permission
985  * [loaded] => array('/path', '/path')
986  *
987  * @global object
988  * @global object
989  * @param $userid integer - the id of the user
990  */
991 function get_user_access_sitewide($userid) {
993     global $CFG, $DB;
995     /* Get in 3 cheap DB queries...
996      * - role assignments
997      * - relevant role caps
998      *   - above and within this user's RAs
999      *   - below this user's RAs - limited to course level
1000      */
1002     $accessdata           = array(); // named list
1003     $accessdata['ra']     = array();
1004     $accessdata['rdef']   = array();
1005     $accessdata['loaded'] = array();
1007     //
1008     // Role assignments
1009     //
1010     $sql = "SELECT ctx.path, ra.roleid
1011               FROM {role_assignments} ra
1012               JOIN {context} ctx ON ctx.id=ra.contextid
1013              WHERE ra.userid = ? AND ctx.contextlevel <= ".CONTEXT_COURSE;
1014     $params = array($userid);
1015     $rs = $DB->get_recordset_sql($sql, $params);
1017     //
1018     // raparents collects paths & roles we need to walk up
1019     // the parenthood to build the rdef
1020     //
1021     $raparents = array();
1022     if ($rs) {
1023         foreach ($rs as $ra) {
1024             // RAs leafs are arrays to support multi
1025             // role assignments...
1026             if (!isset($accessdata['ra'][$ra->path])) {
1027                 $accessdata['ra'][$ra->path] = array();
1028             }
1029             array_push($accessdata['ra'][$ra->path], $ra->roleid);
1031             // Concatenate as string the whole path (all related context)
1032             // for this role. This is damn faster than using array_merge()
1033             // Will unique them later
1034             if (isset($raparents[$ra->roleid])) {
1035                 $raparents[$ra->roleid] .= $ra->path;
1036             } else {
1037                 $raparents[$ra->roleid] = $ra->path;
1038             }
1039         }
1040         unset($ra);
1041         $rs->close();
1042     }
1044     // Walk up the tree to grab all the roledefs
1045     // of interest to our user...
1046     //
1047     // NOTE: we use a series of IN clauses here - which
1048     // might explode on huge sites with very convoluted nesting of
1049     // categories... - extremely unlikely that the number of categories
1050     // and roletypes is so large that we hit the limits of IN()
1051     $clauses = '';
1052     $cparams = array();
1053     foreach ($raparents as $roleid=>$strcontexts) {
1054         $contexts = implode(',', array_unique(explode('/', trim($strcontexts, '/'))));
1055         if ($contexts ==! '') {
1056             if ($clauses) {
1057                 $clauses .= ' OR ';
1058             }
1059             $clauses .= "(roleid=? AND contextid IN ($contexts))";
1060             $cparams[] = $roleid;
1061         }
1062     }
1064     if ($clauses !== '') {
1065         $sql = "SELECT ctx.path, rc.roleid, rc.capability, rc.permission
1066                 FROM {role_capabilities} rc
1067                 JOIN {context} ctx
1068                   ON rc.contextid=ctx.id
1069                 WHERE $clauses";
1071         unset($clauses);
1072         $rs = $DB->get_recordset_sql($sql, $cparams);
1074         if ($rs) {
1075             foreach ($rs as $rd) {
1076                 $k = "{$rd->path}:{$rd->roleid}";
1077                 $accessdata['rdef'][$k][$rd->capability] = $rd->permission;
1078             }
1079             unset($rd);
1080             $rs->close();
1081         }
1082     }
1084     //
1085     // Overrides for the role assignments IN SUBCONTEXTS
1086     // (though we still do _not_ go below the course level.
1087     //
1088     // NOTE that the JOIN w sctx is with 3-way triangulation to
1089     // catch overrides to the applicable role in any subcontext, based
1090     // on the path field of the parent.
1091     //
1092     $sql = "SELECT sctx.path, ra.roleid,
1093                    ctx.path AS parentpath,
1094                    rco.capability, rco.permission
1095               FROM {role_assignments} ra
1096               JOIN {context} ctx
1097                    ON ra.contextid=ctx.id
1098               JOIN {context} sctx
1099                    ON (sctx.path LIKE " . $DB->sql_concat('ctx.path',"'/%'"). " )
1100               JOIN {role_capabilities} rco
1101                    ON (rco.roleid=ra.roleid AND rco.contextid=sctx.id)
1102              WHERE ra.userid = ?
1103                AND ctx.contextlevel <= ".CONTEXT_COURSECAT."
1104                AND sctx.contextlevel <= ".CONTEXT_COURSE."
1105           ORDER BY sctx.depth, sctx.path, ra.roleid";
1106     $params = array($userid);
1107     $rs = $DB->get_recordset_sql($sql, $params);
1108     if ($rs) {
1109         foreach ($rs as $rd) {
1110             $k = "{$rd->path}:{$rd->roleid}";
1111             $accessdata['rdef'][$k][$rd->capability] = $rd->permission;
1112         }
1113         unset($rd);
1114         $rs->close();
1115     }
1116     return $accessdata;
1119 /**
1120  * Add to the access ctrl array the data needed by a user for a given context
1121  *
1122  * @global object
1123  * @global object
1124  * @param integer $userid the id of the user
1125  * @param object $context needs path!
1126  * @param array $accessdata accessdata array
1127  */
1128 function load_subcontext($userid, $context, &$accessdata) {
1130     global $CFG, $DB;
1132     /* Get the additional RAs and relevant rolecaps
1133      * - role assignments - with role_caps
1134      * - relevant role caps
1135      *   - above this user's RAs
1136      *   - below this user's RAs - limited to course level
1137      */
1139     $base = "/" . SYSCONTEXTID;
1141     //
1142     // Replace $context with the target context we will
1143     // load. Normally, this will be a course context, but
1144     // may be a different top-level context.
1145     //
1146     // We have 3 cases
1147     //
1148     // - Course
1149     // - BLOCK/PERSON/USER/COURSE(sitecourse) hanging from SYSTEM
1150     // - BLOCK/MODULE/GROUP hanging from a course
1151     //
1152     // For course contexts, we _already_ have the RAs
1153     // but the cost of re-fetching is minimal so we don't care.
1154     //
1155     if ($context->contextlevel !== CONTEXT_COURSE
1156         && $context->path !== "$base/{$context->id}") {
1157         // Case BLOCK/MODULE/GROUP hanging from a course
1158         // Assumption: the course _must_ be our parent
1159         // If we ever see stuff nested further this needs to
1160         // change to do 1 query over the exploded path to
1161         // find out which one is the course
1162         $courses = explode('/',get_course_from_path($context->path));
1163         $targetid = array_pop($courses);
1164         $context = get_context_instance_by_id($targetid);
1166     }
1168     //
1169     // Role assignments in the context and below
1170     //
1171     $sql = "SELECT ctx.path, ra.roleid
1172               FROM {role_assignments} ra
1173               JOIN {context} ctx
1174                    ON ra.contextid=ctx.id
1175              WHERE ra.userid = ?
1176                    AND (ctx.path = ? OR ctx.path LIKE ?)
1177           ORDER BY ctx.depth, ctx.path, ra.roleid";
1178     $params = array($userid, $context->path, $context->path."/%");
1179     $rs = $DB->get_recordset_sql($sql, $params);
1181     //
1182     // Read in the RAs, preventing duplicates
1183     //
1184     if ($rs) {
1185         $localroles = array();
1186         $lastseen  = '';
1187         foreach ($rs as $ra) {
1188             if (!isset($accessdata['ra'][$ra->path])) {
1189                 $accessdata['ra'][$ra->path] = array();
1190             }
1191             // only add if is not a repeat caused
1192             // by capability join...
1193             // (this check is cheaper than in_array())
1194             if ($lastseen !== $ra->path.':'.$ra->roleid) {
1195                 $lastseen = $ra->path.':'.$ra->roleid;
1196                 array_push($accessdata['ra'][$ra->path], $ra->roleid);
1197                 array_push($localroles,           $ra->roleid);
1198             }
1199         }
1200         $rs->close();
1201     }
1203     //
1204     // Walk up and down the tree to grab all the roledefs
1205     // of interest to our user...
1206     //
1207     // NOTES
1208     // - we use IN() but the number of roles is very limited.
1209     //
1210     $courseroles    = aggregate_roles_from_accessdata($context, $accessdata);
1212     // Do we have any interesting "local" roles?
1213     $localroles = array_diff($localroles,$courseroles); // only "new" local roles
1214     $wherelocalroles='';
1215     if (count($localroles)) {
1216         // Role defs for local roles in 'higher' contexts...
1217         $contexts = substr($context->path, 1); // kill leading slash
1218         $contexts = str_replace('/', ',', $contexts);
1219         $localroleids = implode(',',$localroles);
1220         $wherelocalroles="OR (rc.roleid IN ({$localroleids})
1221                               AND ctx.id IN ($contexts))" ;
1222     }
1224     // We will want overrides for all of them
1225     $whereroles = '';
1226     if ($roleids  = implode(',',array_merge($courseroles,$localroles))) {
1227         $whereroles = "rc.roleid IN ($roleids) AND";
1228     }
1229     $sql = "SELECT ctx.path, rc.roleid, rc.capability, rc.permission
1230               FROM {role_capabilities} rc
1231               JOIN {context} ctx
1232                    ON rc.contextid=ctx.id
1233              WHERE ($whereroles
1234                     (ctx.id=? OR ctx.path LIKE ?))
1235                    $wherelocalroles
1236           ORDER BY ctx.depth ASC, ctx.path DESC, rc.roleid ASC ";
1237     $params = array($context->id, $context->path."/%");
1239     $newrdefs = array();
1240     if ($rs = $DB->get_recordset_sql($sql, $params)) {
1241         foreach ($rs as $rd) {
1242             $k = "{$rd->path}:{$rd->roleid}";
1243             if (!array_key_exists($k, $newrdefs)) {
1244                 $newrdefs[$k] = array();
1245             }
1246             $newrdefs[$k][$rd->capability] = $rd->permission;
1247         }
1248         $rs->close();
1249     } else {
1250         debugging('Bad SQL encountered!');
1251     }
1253     compact_rdefs($newrdefs);
1254     foreach ($newrdefs as $key=>$value) {
1255         $accessdata['rdef'][$key] =& $newrdefs[$key];
1256     }
1258     // error_log("loaded {$context->path}");
1259     $accessdata['loaded'][] = $context->path;
1262 /**
1263  * Add to the access ctrl array the data needed by a role for a given context.
1264  *
1265  * The data is added in the rdef key.
1266  *
1267  * This role-centric function is useful for role_switching
1268  * and to get an overview of what a role gets under a
1269  * given context and below...
1270  *
1271  * @global object
1272  * @global object
1273  * @param integer $roleid the id of the user
1274  * @param object $context needs path!
1275  * @param array $accessdata accessdata array NULL by default
1276  * @return array
1277  */
1278 function get_role_access_bycontext($roleid, $context, $accessdata=NULL) {
1280     global $CFG, $DB;
1282     /* Get the relevant rolecaps into rdef
1283      * - relevant role caps
1284      *   - at ctx and above
1285      *   - below this ctx
1286      */
1288     if (is_null($accessdata)) {
1289         $accessdata           = array(); // named list
1290         $accessdata['ra']     = array();
1291         $accessdata['rdef']   = array();
1292         $accessdata['loaded'] = array();
1293     }
1295     $contexts = substr($context->path, 1); // kill leading slash
1296     $contexts = str_replace('/', ',', $contexts);
1298     //
1299     // Walk up and down the tree to grab all the roledefs
1300     // of interest to our role...
1301     //
1302     // NOTE: we use an IN clauses here - which
1303     // might explode on huge sites with very convoluted nesting of
1304     // categories... - extremely unlikely that the number of nested
1305     // categories is so large that we hit the limits of IN()
1306     //
1307     $sql = "SELECT ctx.path, rc.capability, rc.permission
1308               FROM {role_capabilities} rc
1309               JOIN {context} ctx
1310                    ON rc.contextid=ctx.id
1311              WHERE rc.roleid=? AND
1312                    ( ctx.id IN ($contexts) OR
1313                     ctx.path LIKE ? )
1314           ORDER BY ctx.depth ASC, ctx.path DESC, rc.roleid ASC ";
1315     $params = array($roleid, $context->path."/%");
1317     if ($rs = $DB->get_recordset_sql($sql, $params)) {
1318         foreach ($rs as $rd) {
1319             $k = "{$rd->path}:{$roleid}";
1320             $accessdata['rdef'][$k][$rd->capability] = $rd->permission;
1321         }
1322         $rs->close();
1323     }
1325     return $accessdata;
1328 /**
1329  * Load accessdata for a user into the $ACCESSLIB_PRIVATE->accessdatabyuser global
1330  *
1331  * Used by has_capability() - but feel free
1332  * to call it if you are about to run a BIG
1333  * cron run across a bazillion users.
1334  *
1335  * @global object
1336  * @global object
1337  * @param int $userid
1338  * @return array returns ACCESSLIB_PRIVATE->accessdatabyuser[userid]
1339  */
1340 function load_user_accessdata($userid) {
1341     global $CFG, $ACCESSLIB_PRIVATE;
1343     $base = '/'.SYSCONTEXTID;
1345     $accessdata = get_user_access_sitewide($userid);
1346     $frontpagecontext = get_context_instance(CONTEXT_COURSE, SITEID);
1347     //
1348     // provide "default role" & set 'dr'
1349     //
1350     if (!empty($CFG->defaultuserroleid)) {
1351         $accessdata = get_role_access($CFG->defaultuserroleid, $accessdata);
1352         if (!isset($accessdata['ra'][$base])) {
1353             $accessdata['ra'][$base] = array($CFG->defaultuserroleid);
1354         } else {
1355             array_push($accessdata['ra'][$base], $CFG->defaultuserroleid);
1356         }
1357         $accessdata['dr'] = $CFG->defaultuserroleid;
1358     }
1360     //
1361     // provide "default frontpage role"
1362     //
1363     if (!empty($CFG->defaultfrontpageroleid)) {
1364         $base = '/'. SYSCONTEXTID .'/'. $frontpagecontext->id;
1365         $accessdata = get_default_frontpage_role_access($CFG->defaultfrontpageroleid, $accessdata);
1366         if (!isset($accessdata['ra'][$base])) {
1367             $accessdata['ra'][$base] = array($CFG->defaultfrontpageroleid);
1368         } else {
1369             array_push($accessdata['ra'][$base], $CFG->defaultfrontpageroleid);
1370         }
1371     }
1372     // for dirty timestamps in cron
1373     $accessdata['time'] = time();
1375     $ACCESSLIB_PRIVATE->accessdatabyuser[$userid] = $accessdata;
1376     compact_rdefs($ACCESSLIB_PRIVATE->accessdatabyuser[$userid]['rdef']);
1378     return $ACCESSLIB_PRIVATE->accessdatabyuser[$userid];
1381 /**
1382  * Use shared copy of role definitions stored in ACCESSLIB_PRIVATE->roledefinitions;
1383  *
1384  * @global object
1385  * @param array $rdefs array of role definitions in contexts
1386  */
1387 function compact_rdefs(&$rdefs) {
1388     global $ACCESSLIB_PRIVATE;
1390     /*
1391      * This is a basic sharing only, we could also
1392      * use md5 sums of values. The main purpose is to
1393      * reduce mem in cron jobs - many users in $ACCESSLIB_PRIVATE->accessdatabyuser array.
1394      */
1396     foreach ($rdefs as $key => $value) {
1397         if (!array_key_exists($key, $ACCESSLIB_PRIVATE->roledefinitions)) {
1398             $ACCESSLIB_PRIVATE->roledefinitions[$key] = $rdefs[$key];
1399         }
1400         $rdefs[$key] =& $ACCESSLIB_PRIVATE->roledefinitions[$key];
1401     }
1404 /**
1405  * A convenience function to completely load all the capabilities
1406  * for the current user.   This is what gets called from complete_user_login()
1407  * for example. Call it only _after_ you've setup $USER and called
1408  * check_enrolment_plugins();
1409  * @see check_enrolment_plugins()
1410  *
1411  * @global object
1412  * @global object
1413  * @global object
1414  */
1415 function load_all_capabilities() {
1416     global $CFG, $ACCESSLIB_PRIVATE;
1418     //NOTE: we can not use $USER here because it may no be linked to $_SESSION['USER'] yet!
1420     // roles not installed yet - we are in the middle of installation
1421     if (during_initial_install()) {
1422         return;
1423     }
1425     $base = '/'.SYSCONTEXTID;
1427     if (isguestuser($_SESSION['USER'])) {
1428         $guest = get_guest_role();
1430         // Load the rdefs
1431         $_SESSION['USER']->access = get_role_access($guest->id);
1432         // Put the ghost enrolment in place...
1433         $_SESSION['USER']->access['ra'][$base] = array($guest->id);
1436     } else if (!empty($_SESSION['USER']->id)) { // can not use isloggedin() yet
1438         $accessdata = get_user_access_sitewide($_SESSION['USER']->id);
1440         //
1441         // provide "default role" & set 'dr'
1442         //
1443         if (!empty($CFG->defaultuserroleid)) {
1444             $accessdata = get_role_access($CFG->defaultuserroleid, $accessdata);
1445             if (!isset($accessdata['ra'][$base])) {
1446                 $accessdata['ra'][$base] = array($CFG->defaultuserroleid);
1447             } else {
1448                 array_push($accessdata['ra'][$base], $CFG->defaultuserroleid);
1449             }
1450             $accessdata['dr'] = $CFG->defaultuserroleid;
1451         }
1453         $frontpagecontext = get_context_instance(CONTEXT_COURSE, SITEID);
1455         //
1456         // provide "default frontpage role"
1457         //
1458         if (!empty($CFG->defaultfrontpageroleid)) {
1459             $base = '/'. SYSCONTEXTID .'/'. $frontpagecontext->id;
1460             $accessdata = get_default_frontpage_role_access($CFG->defaultfrontpageroleid, $accessdata);
1461             if (!isset($accessdata['ra'][$base])) {
1462                 $accessdata['ra'][$base] = array($CFG->defaultfrontpageroleid);
1463             } else {
1464                 array_push($accessdata['ra'][$base], $CFG->defaultfrontpageroleid);
1465             }
1466         }
1467         $_SESSION['USER']->access = $accessdata;
1469     } else if (!empty($CFG->notloggedinroleid)) {
1470         $_SESSION['USER']->access = get_role_access($CFG->notloggedinroleid);
1471         $_SESSION['USER']->access['ra'][$base] = array($CFG->notloggedinroleid);
1472     }
1474     // Timestamp to read dirty context timestamps later
1475     $_SESSION['USER']->access['time'] = time();
1476     $ACCESSLIB_PRIVATE->dirtycontexts = array();
1478     // Clear to force a refresh
1479     unset($_SESSION['USER']->mycourses);
1482 /**
1483  * A convenience function to completely reload all the capabilities
1484  * for the current user when roles have been updated in a relevant
1485  * context -- but PRESERVING switchroles and loginas.
1486  *
1487  * That is - completely transparent to the user.
1488  *
1489  * Note: rewrites $USER->access completely.
1490  *
1491  * @global object
1492  * @global object
1493  */
1494 function reload_all_capabilities() {
1495     global $USER, $DB;
1497     // error_log("reloading");
1498     // copy switchroles
1499     $sw = array();
1500     if (isset($USER->access['rsw'])) {
1501         $sw = $USER->access['rsw'];
1502         // error_log(print_r($sw,1));
1503     }
1505     unset($USER->access);
1506     unset($USER->mycourses);
1508     load_all_capabilities();
1510     foreach ($sw as $path => $roleid) {
1511         $context = $DB->get_record('context', array('path'=>$path));
1512         role_switch($roleid, $context);
1513     }
1517 /**
1518  * Adds a temp role to an accessdata array.
1519  *
1520  * Useful for the "temporary guest" access
1521  * we grant to logged-in users.
1522  *
1523  * Note - assumes a course context!
1524  *
1525  * @param object $content
1526  * @param int $roleid
1527  * @param array $accessdata
1528  * @return array Returns access data
1529  */
1530 function load_temp_role($context, $roleid, array $accessdata) {
1531     global $CFG, $DB;
1533     //
1534     // Load rdefs for the role in -
1535     // - this context
1536     // - all the parents
1537     // - and below - IOWs overrides...
1538     //
1540     // turn the path into a list of context ids
1541     $contexts = substr($context->path, 1); // kill leading slash
1542     $contexts = str_replace('/', ',', $contexts);
1544     $sql = "SELECT ctx.path, rc.capability, rc.permission
1545               FROM {context} ctx
1546               JOIN {role_capabilities} rc
1547                    ON rc.contextid=ctx.id
1548              WHERE (ctx.id IN ($contexts)
1549                     OR ctx.path LIKE ?)
1550                    AND rc.roleid = ?
1551           ORDER BY ctx.depth, ctx.path";
1552     $params = array($context->path."/%", $roleid);
1553     if ($rs = $DB->get_recordset_sql($sql, $params)) {
1554         foreach ($rs as $rd) {
1555             $k = "{$rd->path}:{$roleid}";
1556             $accessdata['rdef'][$k][$rd->capability] = $rd->permission;
1557         }
1558         $rs->close();
1559     }
1561     //
1562     // Say we loaded everything for the course context
1563     // - which we just did - if the user gets a proper
1564     // RA in this session, this data will need to be reloaded,
1565     // but that is handled by the complete accessdata reload
1566     //
1567     array_push($accessdata['loaded'], $context->path);
1569     //
1570     // Add the ghost RA
1571     //
1572     if (isset($accessdata['ra'][$context->path])) {
1573         array_push($accessdata['ra'][$context->path], $roleid);
1574     } else {
1575         $accessdata['ra'][$context->path] = array($roleid);
1576     }
1578     return $accessdata;
1581 /**
1582  * Removes any extra guest roels from accessdata
1583  * @param object $context
1584  * @param array $accessdata
1585  * @return array access data
1586  */
1587 function remove_temp_roles($context, array $accessdata) {
1588     global $DB, $USER;
1589     $sql = "SELECT DISTINCT ra.roleid AS id
1590               FROM {role_assignments} ra
1591              WHERE ra.contextid = :contextid AND ra.userid = :userid";
1592     $ras = $DB->get_records_sql($sql, array('contextid'=>$context->id, 'userid'=>$USER->id));
1594     $accessdata['ra'][$context->path] = array_keys($ras);
1595     return $accessdata;
1598 /**
1599  * Returns array of all role archetypes.
1600  *
1601  * @return array
1602  */
1603 function get_role_archetypes() {
1604     return array(
1605         'manager'        => 'manager',
1606         'coursecreator'  => 'coursecreator',
1607         'editingteacher' => 'editingteacher',
1608         'teacher'        => 'teacher',
1609         'student'        => 'student',
1610         'guest'          => 'guest',
1611         'user'           => 'user',
1612         'frontpage'      => 'frontpage'
1613     );
1616 /**
1617  * Assign the defaults found in this capability definition to roles that have
1618  * the corresponding legacy capabilities assigned to them.
1619  *
1620  * @param string $capability
1621  * @param array $legacyperms an array in the format (example):
1622  *                      'guest' => CAP_PREVENT,
1623  *                      'student' => CAP_ALLOW,
1624  *                      'teacher' => CAP_ALLOW,
1625  *                      'editingteacher' => CAP_ALLOW,
1626  *                      'coursecreator' => CAP_ALLOW,
1627  *                      'manager' => CAP_ALLOW
1628  * @return boolean success or failure.
1629  */
1630 function assign_legacy_capabilities($capability, $legacyperms) {
1632     $archetypes = get_role_archetypes();
1634     foreach ($legacyperms as $type => $perm) {
1636         $systemcontext = get_context_instance(CONTEXT_SYSTEM);
1637         if ($type === 'admin') {
1638             debugging('Legacy type admin in access.php was renamed to manager, please update the code.');
1639             $type = 'manager';
1640         }
1642         if (!array_key_exists($type, $archetypes)) {
1643             print_error('invalidlegacy', '', '', $type);
1644         }
1646         if ($roles = get_archetype_roles($type)) {
1647             foreach ($roles as $role) {
1648                 // Assign a site level capability.
1649                 if (!assign_capability($capability, $perm, $role->id, $systemcontext->id)) {
1650                     return false;
1651                 }
1652             }
1653         }
1654     }
1655     return true;
1658 /**
1659  * @param object $capability a capability - a row from the capabilities table.
1660  * @return boolean whether this capability is safe - that is, whether people with the
1661  *      safeoverrides capability should be allowed to change it.
1662  */
1663 function is_safe_capability($capability) {
1664     return !((RISK_DATALOSS | RISK_MANAGETRUST | RISK_CONFIG | RISK_XSS | RISK_PERSONAL) & $capability->riskbitmask);
1667 /**********************************
1668  * Context Manipulation functions *
1669  **********************************/
1671 /**
1672  * Context creation - internal implementation.
1673  *
1674  * Create a new context record for use by all roles-related stuff
1675  * assumes that the caller has done the homework.
1676  *
1677  * DO NOT CALL THIS DIRECTLY, instead use {@link get_context_instance}!
1678  *
1679  * @param int $contextlevel
1680  * @param int $instanceid
1681  * @param int $strictness
1682  * @return object newly created context
1683  */
1684 function create_context($contextlevel, $instanceid, $strictness=IGNORE_MISSING) {
1686     global $CFG, $DB;
1688     if ($contextlevel == CONTEXT_SYSTEM) {
1689         return create_system_context();
1690     }
1692     $context = new object();
1693     $context->contextlevel = $contextlevel;
1694     $context->instanceid = $instanceid;
1696     // Define $context->path based on the parent
1697     // context. In other words... Who is your daddy?
1698     $basepath  = '/' . SYSCONTEXTID;
1699     $basedepth = 1;
1701     $result = true;
1702     $error_message = NULL;
1704     switch ($contextlevel) {
1705         case CONTEXT_COURSECAT:
1706             $sql = "SELECT ctx.path, ctx.depth
1707                       FROM {context}           ctx
1708                       JOIN {course_categories} cc
1709                            ON (cc.parent=ctx.instanceid AND ctx.contextlevel=".CONTEXT_COURSECAT.")
1710                      WHERE cc.id=?";
1711             $params = array($instanceid);
1712             if ($p = $DB->get_record_sql($sql, $params)) {
1713                 $basepath  = $p->path;
1714                 $basedepth = $p->depth;
1715             } else if ($category = $DB->get_record('course_categories', array('id'=>$instanceid), '*', $strictness)) {
1716                 if (empty($category->parent)) {
1717                     // ok - this is a top category
1718                 } else if ($parent = get_context_instance(CONTEXT_COURSECAT, $category->parent)) {
1719                     $basepath  = $parent->path;
1720                     $basedepth = $parent->depth;
1721                 } else {
1722                     // wrong parent category - no big deal, this can be fixed later
1723                     $basepath  = NULL;
1724                     $basedepth = 0;
1725                 }
1726             } else {
1727                 // incorrect category id
1728                 $error_message = "incorrect course category id ($instanceid)";
1729                 $result = false;
1730             }
1731             break;
1733         case CONTEXT_COURSE:
1734             $sql = "SELECT ctx.path, ctx.depth
1735                       FROM {context} ctx
1736                       JOIN {course}  c
1737                            ON (c.category=ctx.instanceid AND ctx.contextlevel=".CONTEXT_COURSECAT.")
1738                      WHERE c.id=? AND c.id !=" . SITEID;
1739             $params = array($instanceid);
1740             if ($p = $DB->get_record_sql($sql, $params)) {
1741                 $basepath  = $p->path;
1742                 $basedepth = $p->depth;
1743             } else if ($course = $DB->get_record('course', array('id'=>$instanceid), '*', $strictness)) {
1744                 if ($course->id == SITEID) {
1745                     //ok - no parent category
1746                 } else if ($parent = get_context_instance(CONTEXT_COURSECAT, $course->category)) {
1747                     $basepath  = $parent->path;
1748                     $basedepth = $parent->depth;
1749                 } else {
1750                     // wrong parent category of course - no big deal, this can be fixed later
1751                     $basepath  = NULL;
1752                     $basedepth = 0;
1753                 }
1754             } else if ($instanceid == SITEID) {
1755                 // no errors for missing site course during installation
1756                 return false;
1757             } else {
1758                 // incorrect course id
1759                 $error_message = "incorrect course id ($instanceid)";
1760                 $result = false;
1761             }
1762             break;
1764         case CONTEXT_MODULE:
1765             $sql = "SELECT ctx.path, ctx.depth
1766                       FROM {context}        ctx
1767                       JOIN {course_modules} cm
1768                            ON (cm.course=ctx.instanceid AND ctx.contextlevel=".CONTEXT_COURSE.")
1769                      WHERE cm.id=?";
1770             $params = array($instanceid);
1771             if ($p = $DB->get_record_sql($sql, $params)) {
1772                 $basepath  = $p->path;
1773                 $basedepth = $p->depth;
1774             } else if ($cm = $DB->get_record('course_modules', array('id'=>$instanceid), '*', $strictness)) {
1775                 if ($parent = get_context_instance(CONTEXT_COURSE, $cm->course, $strictness)) {
1776                     $basepath  = $parent->path;
1777                     $basedepth = $parent->depth;
1778                 } else {
1779                     // course does not exist - modules can not exist without a course
1780                     $error_message = "course does not exist ($cm->course) - modules can not exist without a course";
1781                     $result = false;
1782                 }
1783             } else {
1784                 // cm does not exist
1785                 $error_message = "cm with id $instanceid does not exist";
1786                 $result = false;
1787             }
1788             break;
1790         case CONTEXT_BLOCK:
1791             $sql = "SELECT ctx.path, ctx.depth
1792                       FROM {context} ctx
1793                       JOIN {block_instances} bi ON (bi.parentcontextid=ctx.id)
1794                      WHERE bi.id = ?";
1795             $params = array($instanceid, CONTEXT_COURSE);
1796             if ($p = $DB->get_record_sql($sql, $params, '*', $strictness)) {
1797                 $basepath  = $p->path;
1798                 $basedepth = $p->depth;
1799             } else {
1800                 // block does not exist
1801                 $error_message = 'block or parent context does not exist';
1802                 $result = false;
1803             }
1804             break;
1805         case CONTEXT_USER:
1806             // default to basepath
1807             break;
1808     }
1810     // if grandparents unknown, maybe rebuild_context_path() will solve it later
1811     if ($basedepth != 0) {
1812         $context->depth = $basedepth+1;
1813     }
1815     if (!$result) {
1816         debugging('Error: could not insert new context level "'.
1817                   s($contextlevel).'", instance "'.
1818                   s($instanceid).'". ' . $error_message);
1820         return false;
1821     }
1823     $id = $DB->insert_record('context', $context);
1824     // can't set the full path till we know the id!
1825     if ($basedepth != 0 and !empty($basepath)) {
1826         $DB->set_field('context', 'path', $basepath.'/'. $id, array('id'=>$id));
1827     }
1828     return get_context_instance_by_id($id);
1831 /**
1832  * Returns system context or NULL if can not be created yet.
1833  *
1834  * @todo can not use get_record() because we do not know if query failed :-(
1835  * switch to get_record() later
1836  *
1837  * @global object
1838  * @global object
1839  * @param bool $cache use caching
1840  * @return mixed system context or NULL
1841  */
1842 function get_system_context($cache=true) {
1843     global $DB, $ACCESSLIB_PRIVATE;
1844     if ($cache and defined('SYSCONTEXTID')) {
1845         if (is_null($ACCESSLIB_PRIVATE->systemcontext)) {
1846             $ACCESSLIB_PRIVATE->systemcontext = new object();
1847             $ACCESSLIB_PRIVATE->systemcontext->id           = SYSCONTEXTID;
1848             $ACCESSLIB_PRIVATE->systemcontext->contextlevel = CONTEXT_SYSTEM;
1849             $ACCESSLIB_PRIVATE->systemcontext->instanceid   = 0;
1850             $ACCESSLIB_PRIVATE->systemcontext->path         = '/'.SYSCONTEXTID;
1851             $ACCESSLIB_PRIVATE->systemcontext->depth        = 1;
1852         }
1853         return $ACCESSLIB_PRIVATE->systemcontext;
1854     }
1855     try {
1856         $context = $DB->get_record('context', array('contextlevel'=>CONTEXT_SYSTEM));
1857     } catch (dml_exception $e) {
1858         //table does not exist yet, sorry
1859         return NULL;
1860     }
1862     if (!$context) {
1863         $context = new object();
1864         $context->contextlevel = CONTEXT_SYSTEM;
1865         $context->instanceid   = 0;
1866         $context->depth        = 1;
1867         $context->path         = NULL; //not known before insert
1869         try {
1870             $context->id = $DB->insert_record('context', $context);
1871         } catch (dml_exception $e) {
1872             // can not create context yet, sorry
1873             return NULL;
1874         }
1875     }
1877     if (!isset($context->depth) or $context->depth != 1 or $context->instanceid != 0 or $context->path != '/'.$context->id) {
1878         $context->instanceid   = 0;
1879         $context->path         = '/'.$context->id;
1880         $context->depth        = 1;
1881         $DB->update_record('context', $context);
1882     }
1884     if (!defined('SYSCONTEXTID')) {
1885         define('SYSCONTEXTID', $context->id);
1886     }
1888     $ACCESSLIB_PRIVATE->systemcontext = $context;
1889     return $ACCESSLIB_PRIVATE->systemcontext;
1892 /**
1893  * Remove a context record and any dependent entries,
1894  * removes context from static context cache too
1895  *
1896  * @param int $level
1897  * @param int $instanceid
1898  * @return bool returns true or throws an exception
1899  */
1900 function delete_context($contextlevel, $instanceid) {
1901     global $DB, $ACCESSLIB_PRIVATE, $CFG;
1903     // do not use get_context_instance(), because the related object might not exist,
1904     // or the context does not exist yet and it would be created now
1905     if ($context = $DB->get_record('context', array('contextlevel'=>$contextlevel, 'instanceid'=>$instanceid))) {
1906         $DB->delete_records('role_assignments', array('contextid'=>$context->id));
1907         $DB->delete_records('role_capabilities', array('contextid'=>$context->id));
1908         $DB->delete_records('context', array('id'=>$context->id));
1909         $DB->delete_records('role_names', array('contextid'=>$context->id));
1911         // delete all files attached to this context
1912         $fs = get_file_storage();
1913         $fs->delete_area_files($context->id);
1915         // do not mark dirty contexts if parents unknown
1916         if (!is_null($context->path) and $context->depth > 0) {
1917             mark_context_dirty($context->path);
1918         }
1920         // purge static context cache if entry present
1921         unset($ACCESSLIB_PRIVATE->contexts[$contextlevel][$instanceid]);
1922         unset($ACCESSLIB_PRIVATE->contextsbyid[$context->id]);
1924         blocks_delete_all_for_context($context->id);
1925         filter_delete_all_for_context($context->id);
1926         require_once($CFG->dirroot . '/comment/lib.php');
1927         comment::delete_comments(array('contextid'=>$context->id));
1928     }
1930     return true;
1933 /**
1934  * Precreates all contexts including all parents
1935  *
1936  * @global object
1937  * @param int $contextlevel empty means all
1938  * @param bool $buildpaths update paths and depths
1939  * @return void
1940  */
1941 function create_contexts($contextlevel=NULL, $buildpaths=true) {
1942     global $DB;
1944     //make sure system context exists
1945     $syscontext = get_system_context(false);
1947     if (empty($contextlevel) or $contextlevel == CONTEXT_COURSECAT
1948                              or $contextlevel == CONTEXT_COURSE
1949                              or $contextlevel == CONTEXT_MODULE
1950                              or $contextlevel == CONTEXT_BLOCK) {
1951         $sql = "INSERT INTO {context} (contextlevel, instanceid)
1952                 SELECT ".CONTEXT_COURSECAT.", cc.id
1953                   FROM {course}_categories cc
1954                  WHERE NOT EXISTS (SELECT 'x'
1955                                      FROM {context} cx
1956                                     WHERE cc.id = cx.instanceid AND cx.contextlevel=".CONTEXT_COURSECAT.")";
1957         $DB->execute($sql);
1959     }
1961     if (empty($contextlevel) or $contextlevel == CONTEXT_COURSE
1962                              or $contextlevel == CONTEXT_MODULE
1963                              or $contextlevel == CONTEXT_BLOCK) {
1964         $sql = "INSERT INTO {context} (contextlevel, instanceid)
1965                 SELECT ".CONTEXT_COURSE.", c.id
1966                   FROM {course} c
1967                  WHERE NOT EXISTS (SELECT 'x'
1968                                      FROM {context} cx
1969                                     WHERE c.id = cx.instanceid AND cx.contextlevel=".CONTEXT_COURSE.")";
1970         $DB->execute($sql);
1972     }
1974     if (empty($contextlevel) or $contextlevel == CONTEXT_MODULE
1975                              or $contextlevel == CONTEXT_BLOCK) {
1976         $sql = "INSERT INTO {context} (contextlevel, instanceid)
1977                 SELECT ".CONTEXT_MODULE.", cm.id
1978                   FROM {course}_modules cm
1979                  WHERE NOT EXISTS (SELECT 'x'
1980                                      FROM {context} cx
1981                                     WHERE cm.id = cx.instanceid AND cx.contextlevel=".CONTEXT_MODULE.")";
1982         $DB->execute($sql);
1983     }
1985     if (empty($contextlevel) or $contextlevel == CONTEXT_USER
1986                              or $contextlevel == CONTEXT_BLOCK) {
1987         $sql = "INSERT INTO {context} (contextlevel, instanceid)
1988                 SELECT ".CONTEXT_USER.", u.id
1989                   FROM {user} u
1990                  WHERE u.deleted=0
1991                    AND NOT EXISTS (SELECT 'x'
1992                                      FROM {context} cx
1993                                     WHERE u.id = cx.instanceid AND cx.contextlevel=".CONTEXT_USER.")";
1994         $DB->execute($sql);
1996     }
1998     if (empty($contextlevel) or $contextlevel == CONTEXT_BLOCK) {
1999         $sql = "INSERT INTO {context} (contextlevel, instanceid)
2000                 SELECT ".CONTEXT_BLOCK.", bi.id
2001                   FROM {block_instances} bi
2002                  WHERE NOT EXISTS (SELECT 'x'
2003                                      FROM {context} cx
2004                                     WHERE bi.id = cx.instanceid AND cx.contextlevel=".CONTEXT_BLOCK.")";
2005         $DB->execute($sql);
2006     }
2008     if ($buildpaths) {
2009         build_context_path(false);
2010     }
2013 /**
2014  * Remove stale context records
2015  *
2016  * @global object
2017  * @return bool
2018  */
2019 function cleanup_contexts() {
2020     global $DB;
2022     $sql = "  SELECT c.contextlevel,
2023                      c.instanceid AS instanceid
2024                 FROM {context} c
2025                 LEFT OUTER JOIN {course}_categories t
2026                      ON c.instanceid = t.id
2027                WHERE t.id IS NULL AND c.contextlevel = ".CONTEXT_COURSECAT."
2028             UNION
2029               SELECT c.contextlevel,
2030                      c.instanceid
2031                 FROM {context} c
2032                 LEFT OUTER JOIN {course} t
2033                      ON c.instanceid = t.id
2034                WHERE t.id IS NULL AND c.contextlevel = ".CONTEXT_COURSE."
2035             UNION
2036               SELECT c.contextlevel,
2037                      c.instanceid
2038                 FROM {context} c
2039                 LEFT OUTER JOIN {course}_modules t
2040                      ON c.instanceid = t.id
2041                WHERE t.id IS NULL AND c.contextlevel = ".CONTEXT_MODULE."
2042             UNION
2043               SELECT c.contextlevel,
2044                      c.instanceid
2045                 FROM {context} c
2046                 LEFT OUTER JOIN {user} t
2047                      ON c.instanceid = t.id
2048                WHERE t.id IS NULL AND c.contextlevel = ".CONTEXT_USER."
2049             UNION
2050               SELECT c.contextlevel,
2051                      c.instanceid
2052                 FROM {context} c
2053                 LEFT OUTER JOIN {block_instances} t
2054                      ON c.instanceid = t.id
2055                WHERE t.id IS NULL AND c.contextlevel = ".CONTEXT_BLOCK."
2056            ";
2058     // transactions used only for performance reasons here
2059     $transaction = $DB->start_delegated_transaction();
2061     if ($rs = $DB->get_recordset_sql($sql)) {
2062         foreach ($rs as $ctx) {
2063             delete_context($ctx->contextlevel, $ctx->instanceid);
2064         }
2065         $rs->close();
2066     }
2068     $transaction->allow_commit();
2069     return true;
2072 /**
2073  * Preloads all contexts relating to a course: course, modules. Block contexts
2074  * are no longer loaded here. The contexts for all the blocks on the current
2075  * page are now efficiently loaded by {@link block_manager::load_blocks()}.
2076  *
2077  * @param int $courseid Course ID
2078  * @return void
2079  */
2080 function preload_course_contexts($courseid) {
2081     global $DB, $ACCESSLIB_PRIVATE;
2083     // Users can call this multiple times without doing any harm
2084     global $ACCESSLIB_PRIVATE;
2085     if (array_key_exists($courseid, $ACCESSLIB_PRIVATE->preloadedcourses)) {
2086         return;
2087     }
2089     $params = array($courseid, $courseid, $courseid);
2090     $sql = "SELECT x.instanceid, x.id, x.contextlevel, x.path, x.depth
2091               FROM {course_modules} cm
2092               JOIN {context} x ON x.instanceid=cm.id
2093              WHERE cm.course=? AND x.contextlevel=".CONTEXT_MODULE."
2095          UNION ALL
2097             SELECT x.instanceid, x.id, x.contextlevel, x.path, x.depth
2098               FROM {context} x
2099              WHERE x.instanceid=? AND x.contextlevel=".CONTEXT_COURSE."";
2101     $rs = $DB->get_recordset_sql($sql, $params);
2102     foreach($rs as $context) {
2103         cache_context($context);
2104     }
2105     $rs->close();
2106     $ACCESSLIB_PRIVATE->preloadedcourses[$courseid] = true;
2109 /**
2110  * Get the context instance as an object. This function will create the
2111  * context instance if it does not exist yet.
2112  *
2113  * @todo Remove code branch from previous fix MDL-9016 which is no longer needed
2114  *
2115  * @param integer $level The context level, for example CONTEXT_COURSE, or CONTEXT_MODULE.
2116  * @param integer $instance The instance id. For $level = CONTEXT_COURSE, this would be $course->id,
2117  *      for $level = CONTEXT_MODULE, this would be $cm->id. And so on. Defaults to 0
2118  * @param int $strictness IGNORE_MISSING means compatible mode, false returned if record not found, debug message if more found;
2119  *      MUST_EXIST means throw exception if no record or multiple records found
2120  * @return object The context object.
2121  */
2122 function get_context_instance($contextlevel, $instance=0, $strictness=IGNORE_MISSING) {
2124     global $DB, $ACCESSLIB_PRIVATE;
2125     static $allowed_contexts = array(CONTEXT_SYSTEM, CONTEXT_USER, CONTEXT_COURSECAT, CONTEXT_COURSE, CONTEXT_MODULE, CONTEXT_BLOCK);
2127 /// System context has special cache
2128     if ($contextlevel == CONTEXT_SYSTEM) {
2129         return get_system_context();
2130     }
2132 /// check allowed context levels
2133     if (!in_array($contextlevel, $allowed_contexts)) {
2134         // fatal error, code must be fixed - probably typo or switched parameters
2135         print_error('invalidcourselevel');
2136     }
2138     if (!is_array($instance)) {
2139     /// Check the cache
2140         if (isset($ACCESSLIB_PRIVATE->contexts[$contextlevel][$instance])) {  // Already cached
2141             return $ACCESSLIB_PRIVATE->contexts[$contextlevel][$instance];
2142         }
2144     /// Get it from the database, or create it
2145         if (!$context = $DB->get_record('context', array('contextlevel'=>$contextlevel, 'instanceid'=>$instance))) {
2146             $context = create_context($contextlevel, $instance, $strictness);
2147         }
2149     /// Only add to cache if context isn't empty.
2150         if (!empty($context)) {
2151             cache_context($context);
2152         }
2154         return $context;
2155     }
2158 /// ok, somebody wants to load several contexts to save some db queries ;-)
2159     $instances = $instance;
2160     $result = array();
2162     foreach ($instances as $key=>$instance) {
2163     /// Check the cache first
2164         if (isset($ACCESSLIB_PRIVATE->contexts[$contextlevel][$instance])) {  // Already cached
2165             $result[$instance] = $ACCESSLIB_PRIVATE->contexts[$contextlevel][$instance];
2166             unset($instances[$key]);
2167             continue;
2168         }
2169     }
2171     if ($instances) {
2172         list($instanceids, $params) = $DB->get_in_or_equal($instances, SQL_PARAMS_QM);
2173         array_unshift($params, $contextlevel);
2174         $sql = "SELECT instanceid, id, contextlevel, path, depth
2175                   FROM {context}
2176                  WHERE contextlevel=? AND instanceid $instanceids";
2178         if (!$contexts = $DB->get_records_sql($sql, $params)) {
2179             $contexts = array();
2180         }
2182         foreach ($instances as $instance) {
2183             if (isset($contexts[$instance])) {
2184                 $context = $contexts[$instance];
2185             } else {
2186                 $context = create_context($contextlevel, $instance);
2187             }
2189             if (!empty($context)) {
2190                 cache_context($context);
2191             }
2193             $result[$instance] = $context;
2194         }
2195     }
2197     return $result;
2201 /**
2202  * Get a context instance as an object, from a given context id.
2203  *
2204  * @param mixed $id a context id or array of ids.
2205  * @param int $strictness IGNORE_MISSING means compatible mode, false returned if record not found, debug message if more found;
2206  *                        MUST_EXIST means throw exception if no record or multiple records found
2207  * @return mixed object, array of the context object, or false.
2208  */
2209 function get_context_instance_by_id($id, $strictness=IGNORE_MISSING) {
2210     global $DB, $ACCESSLIB_PRIVATE;
2212     if ($id == SYSCONTEXTID) {
2213         return get_system_context();
2214     }
2216     if (isset($ACCESSLIB_PRIVATE->contextsbyid[$id])) {  // Already cached
2217         return $ACCESSLIB_PRIVATE->contextsbyid[$id];
2218     }
2220     if ($context = $DB->get_record('context', array('id'=>$id), '*', $strictness)) {
2221         cache_context($context);
2222         return $context;
2223     }
2225     return false;
2229 /**
2230  * Get the local override (if any) for a given capability in a role in a context
2231  *
2232  * @global object
2233  * @param int $roleid
2234  * @param int $contextid
2235  * @param string $capability
2236  */
2237 function get_local_override($roleid, $contextid, $capability) {
2238     global $DB;
2239     return $DB->get_record('role_capabilities', array('roleid'=>$roleid, 'capability'=>$capability, 'contextid'=>$contextid));
2242 /**
2243  * Returns context instance plus related course and cm instances
2244  * @param int $contextid
2245  * @return array of ($context, $course, $cm)
2246  */
2247 function get_context_info_array($contextid) {
2248     global $DB;
2250     $context = get_context_instance_by_id($contextid, MUST_EXIST);
2251     $course  = NULL;
2252     $cm      = NULL;
2254     if ($context->contextlevel == CONTEXT_COURSE) {
2255         $course = $DB->get_record('course', array('id'=>$context->instanceid), '*', MUST_EXIST);
2257     } else if ($context->contextlevel == CONTEXT_MODULE) {
2258         $cm = get_coursemodule_from_id('', $context->instanceid, 0, false, MUST_EXIST);
2259         $course = $DB->get_record('course', array('id'=>$cm->course), '*', MUST_EXIST);
2261     } else if ($context->contextlevel == CONTEXT_BLOCK) {
2262         $parentcontexts = get_parent_contexts($context, false);
2263         $parent = reset($parentcontexts);
2264         $parent = get_context_instance_by_id($parent);
2266         if ($parent->contextlevel == CONTEXT_COURSE) {
2267             $course = $DB->get_record('course', array('id'=>$parent->instanceid), '*', MUST_EXIST);
2268         } else if ($parent->contextlevel == CONTEXT_MODULE) {
2269             $cm = get_coursemodule_from_id('', $parent->instanceid, 0, false, MUST_EXIST);
2270             $course = $DB->get_record('course', array('id'=>$cm->course), '*', MUST_EXIST);
2271         }
2272     }
2274     return array($context, $course, $cm);
2277 /**
2278  * Returns current course id or null if outside of course based on context parameter.
2279  * @param object $context
2280  * @return int|bool related course id or false
2281  */
2282 function get_courseid_from_context($context) {
2283     if ($context->contextlevel == CONTEXT_COURSE) {
2284         return $context->instanceid;
2285     }
2287     if ($context->contextlevel < CONTEXT_COURSE) {
2288         return false;
2289     }
2291     if ($context->contextlevel == CONTEXT_MODULE) {
2292         $parentcontexts = get_parent_contexts($context, false);
2293         $parent = reset($parentcontexts);
2294         $parent = get_context_instance_by_id($parent);
2295         return $parent->instanceid;
2296     }
2298     if ($context->contextlevel == CONTEXT_BLOCK) {
2299         $parentcontexts = get_parent_contexts($context, false);
2300         $parent = reset($parentcontexts);
2301         return get_courseid_from_context($parent);
2302     }
2304     return false;
2308 //////////////////////////////////////
2309 //    DB TABLE RELATED FUNCTIONS    //
2310 //////////////////////////////////////
2312 /**
2313  * function that creates a role
2314  *
2315  * @global object
2316  * @param string $name role name
2317  * @param string $shortname role short name
2318  * @param string $description role description
2319  * @param string $archetype
2320  * @return mixed id or dml_exception
2321  */
2322 function create_role($name, $shortname, $description, $archetype='') {
2323     global $DB;
2325     if (strpos($archetype, 'moodle/legacy:') !== false) {
2326         throw new coding_exception('Use new role archetype parameter in create_role() instead of old legacy capabilities.');
2327     }
2329     // verify role archetype actually exists
2330     $archetypes = get_role_archetypes();
2331     if (empty($archetypes[$archetype])) {
2332         $archetype = '';
2333     }
2335     // Get the system context.
2336     $context = get_context_instance(CONTEXT_SYSTEM);
2338     // Insert the role record.
2339     $role = new object();
2340     $role->name        = $name;
2341     $role->shortname   = $shortname;
2342     $role->description = $description;
2343     $role->archetype   = $archetype;
2345     //find free sortorder number
2346     $role->sortorder = $DB->get_field('role', 'MAX(sortorder) + 1', array());
2347     if (empty($role->sortorder)) {
2348         $role->sortorder = 1;
2349     }
2350     $id = $DB->insert_record('role', $role);
2352     return $id;
2355 /**
2356  * Function that deletes a role and cleanups up after it
2357  *
2358  * @param int $roleid id of role to delete
2359  * @return bool always true
2360  */
2361 function delete_role($roleid) {
2362     global $CFG, $DB;
2364     // first unssign all users
2365     role_unassign_all(array('roleid'=>$roleid));
2367     // cleanup all references to this role, ignore errors
2368     $DB->delete_records('role_capabilities',   array('roleid'=>$roleid));
2369     $DB->delete_records('role_allow_assign',   array('roleid'=>$roleid));
2370     $DB->delete_records('role_allow_assign',   array('allowassign'=>$roleid));
2371     $DB->delete_records('role_allow_override', array('roleid'=>$roleid));
2372     $DB->delete_records('role_allow_override', array('allowoverride'=>$roleid));
2373     $DB->delete_records('role_names',          array('roleid'=>$roleid));
2374     $DB->delete_records('role_context_levels', array('roleid'=>$roleid));
2376     // finally delete the role itself
2377     // get this before the name is gone for logging
2378     $rolename = $DB->get_field('role', 'name', array('id'=>$roleid));
2380     $DB->delete_records('role', array('id'=>$roleid));
2382     add_to_log(SITEID, 'role', 'delete', 'admin/roles/action=delete&roleid='.$roleid, $rolename, '');
2384     return true;
2387 /**
2388  * Function to write context specific overrides, or default capabilities.
2389  *
2390  * @global object
2391  * @global object
2392  * @param string module string name
2393  * @param string capability string name
2394  * @param int contextid context id
2395  * @param int roleid role id
2396  * @param int permission int 1,-1 or -1000 should not be writing if permission is 0
2397  * @return bool
2398  */
2399 function assign_capability($capability, $permission, $roleid, $contextid, $overwrite=false) {
2400     global $USER, $DB;
2402     if (empty($permission) || $permission == CAP_INHERIT) { // if permission is not set
2403         unassign_capability($capability, $roleid, $contextid);
2404         return true;
2405     }
2407     $existing = $DB->get_record('role_capabilities', array('contextid'=>$contextid, 'roleid'=>$roleid, 'capability'=>$capability));
2409     if ($existing and !$overwrite) {   // We want to keep whatever is there already
2410         return true;
2411     }
2413     $cap = new object;
2414     $cap->contextid = $contextid;
2415     $cap->roleid = $roleid;
2416     $cap->capability = $capability;
2417     $cap->permission = $permission;
2418     $cap->timemodified = time();
2419     $cap->modifierid = empty($USER->id) ? 0 : $USER->id;
2421     if ($existing) {
2422         $cap->id = $existing->id;
2423         $DB->update_record('role_capabilities', $cap);
2424     } else {
2425         $c = $DB->get_record('context', array('id'=>$contextid));
2426         $DB->insert_record('role_capabilities', $cap);
2427     }
2428     return true;
2431 /**
2432  * Unassign a capability from a role.
2433  *
2434  * @global object
2435  * @param int $roleid the role id
2436  * @param string $capability the name of the capability
2437  * @return boolean success or failure
2438  */
2439 function unassign_capability($capability, $roleid, $contextid=NULL) {
2440     global $DB;
2442     if (!empty($contextid)) {
2443         // delete from context rel, if this is the last override in this context
2444         $DB->delete_records('role_capabilities', array('capability'=>$capability, 'roleid'=>$roleid, 'contextid'=>$contextid));
2445     } else {
2446         $DB->delete_records('role_capabilities', array('capability'=>$capability, 'roleid'=>$roleid));
2447     }
2448     return true;
2452 /**
2453  * Get the roles that have a given capability assigned to it
2454  * Get the roles that have a given capability assigned to it. This function
2455  * does not resolve the actual permission of the capability. It just checks
2456  * for assignment only. Use get_roles_with_cap_in_context() if resolution is required.
2457  *
2458  * @global object
2459  * @global object
2460  * @param string $capability - capability name (string)
2461  * @param string $permission - optional, the permission defined for this capability
2462  *                      either CAP_ALLOW, CAP_PREVENT or CAP_PROHIBIT. Defaults to NULL
2463  * @param object $contect
2464  * @return mixed array or role objects
2465  */
2466 function get_roles_with_capability($capability, $permission=NULL, $context=NULL) {
2467     global $CFG, $DB;
2469     $params = array();
2471     if ($context) {
2472         if ($contexts = get_parent_contexts($context)) {
2473             $listofcontexts = '('.implode(',', $contexts).')';
2474         } else {
2475             $sitecontext = get_context_instance(CONTEXT_SYSTEM);
2476             $listofcontexts = '('.$sitecontext->id.')'; // must be site
2477         }
2478         $contextstr = "AND (rc.contextid = ? OR  rc.contextid IN $listofcontexts)";
2479         $params[] = $context->id;
2480     } else {
2481         $contextstr = '';
2482     }
2484     $selectroles = "SELECT r.*
2485                       FROM {role} r,
2486                            {role_capabilities} rc
2487                      WHERE rc.capability = ?
2488                            AND rc.roleid = r.id $contextstr";
2490     array_unshift($params, $capability);
2492     if (isset($permission)) {
2493         $selectroles .= " AND rc.permission = ?";
2494         $params[] = $permission;
2495     }
2496     return $DB->get_records_sql($selectroles, $params);
2500 /**
2501  * This function makes a role-assignment (a role for a user in a particular context)
2502  *
2503  * @param int $roleid the role of the id
2504  * @param int $userid userid
2505  * @param int $contextid id of the context
2506  * @param string $component example 'enrol_ldap', defaults to '' which means manual assignment,
2507  * @prama int $itemid id of enrolment/auth plugin
2508  * @param string $timemodified defaults to current time
2509  * @return int new/existing id of the assignment
2510  */
2511 function role_assign($roleid, $userid, $contextid, $component = '', $itemid = 0, $timemodified = '') {
2512     global $USER, $CFG, $DB;
2514     // first of all detect if somebody is using old style parameters
2515     if ($contextid === 0 or is_numeric($component)) {
2516         throw new coding_exception('Invalid call to role_assign(), code needs to be updated to use new order of parameters');
2517     }
2519     // now validate all parameters
2520     if (empty($roleid)) {
2521         throw new coding_exception('Invalid call to role_assign(), roleid can not be empty');
2522     }
2524     if (empty($userid)) {
2525         throw new coding_exception('Invalid call to role_assign(), userid can not be empty');
2526     }
2528     if ($itemid) {
2529         if (strpos($component, '_') === false) {
2530             throw new coding_exception('Invalid call to role_assign(), component must start with plugin type such as"enrol_" when itemid specified', 'component:'.$component);
2531         }
2532     } else {
2533         $itemid = 0;
2534         if ($component !== '' and strpos($component, '_') === false) {
2535             throw new coding_exception('Invalid call to role_assign(), invalid component string', 'component:'.$component);
2536         }
2537     }
2539     if (!$DB->record_exists('user', array('id'=>$userid, 'deleted'=>0))) {
2540         throw new coding_exception('User ID does not exist or is deleted!', 'userid:'.$userid);
2541         return false;
2542     }
2544     $context = get_context_instance_by_id($contextid, MUST_EXIST);
2546     if (!$timemodified) {
2547         $timemodified = time();
2548     }
2550 /// Check for existing entry
2551     $ras = $DB->get_records('role_assignments', array('roleid'=>$roleid, 'contextid'=>$context->id, 'userid'=>$userid, 'component'=>$component, 'itemid'=>$itemid), 'id');
2553     if ($ras) {
2554         // role already assigned - this should not happen
2555         if (count($ras) > 1) {
2556             //very weird - remove all duplicates!
2557             $ra = array_shift($ras);
2558             foreach ($ras as $r) {
2559                 $DB->delete_records('role_assignments', array('id'=>$r->id));
2560             }
2561         } else {
2562             $ra = reset($ras);
2563         }
2565         // actually there is no need to update, reset anything or trigger any event, so just return
2566         return $ra->id;
2567     }
2569     // Create a new entry
2570     $ra = new object();
2571     $ra->roleid       = $roleid;
2572     $ra->contextid    = $context->id;
2573     $ra->userid       = $userid;
2574     $ra->component    = $component;
2575     $ra->itemid       = $itemid;
2576     $ra->timemodified = $timemodified;
2577     $ra->modifierid   = empty($USER->id) ? 0 : $USER->id;
2579     $ra->id = $DB->insert_record('role_assignments', $ra);
2581     // mark context as dirty - again expensive, but needed
2582     mark_context_dirty($context->path);
2584     if (!empty($USER->id) && $USER->id == $userid) {
2585         // If the user is the current user, then do full reload of capabilities too.
2586         load_all_capabilities();
2587     }
2589     events_trigger('role_assigned', $ra);
2591     return $ra->id;
2594 /**
2595  * Removes one role assignment
2596  *
2597  * @param int $roleid
2598  * @param int  $userid
2599  * @param int  $contextid
2600  * @param string $component
2601  * @param int  $itemid
2602  * @return void
2603  */
2604 function role_unassign($roleid, $userid, $contextid, $component = '', $itemid = 0) {
2605     global $USER, $CFG, $DB;
2607     // first make sure the params make sense
2608     if ($roleid == 0 or $userid == 0 or $contextid == 0) {
2609         throw new coding_exception('Invalid call to role_unassign(), please use role_unassign_all() when removing multiple role assignments');
2610     }
2612     if ($itemid) {
2613         if (strpos($component, '_') === false) {
2614             throw new coding_exception('Invalid call to role_assign(), component must start with plugin type such as "enrol_" when itemid specified', 'component:'.$component);
2615         }
2616     } else {
2617         $itemid = 0;
2618         if ($component !== '' and strpos($component, '_') === false) {
2619             throw new coding_exception('Invalid call to role_assign(), invalid component string', 'component:'.$component);
2620         }
2621     }
2623     role_unassign_all(array('roleid'=>$roleid, 'userid'=>$userid, 'contextid'=>$contextid, 'component'=>$component, 'itemid'=>$itemid), false, false);
2626 /**
2627  * Removes multiple role assignments, parameters may contain:
2628  *   'roleid', 'userid', 'contextid', 'component', 'enrolid'.
2629  *
2630  * @param array $params role assignment parameters
2631  * @param bool $subcontexts unassign in subcontexts too
2632  * @param bool $includmanual include manual role assignments too
2633  * @return void
2634  */
2635 function role_unassign_all(array $params, $subcontexts = false, $includemanual=false) {
2636     global $USER, $CFG, $DB;
2638     if (!$params) {
2639         throw new coding_exception('Missing parameters in role_unsassign_all() call');
2640     }
2642     $allowed = array('roleid', 'userid', 'contextid', 'component', 'itemid');
2643     foreach ($params as $key=>$value) {
2644         if (!in_array($key, $allowed)) {
2645             throw new coding_exception('Unknown role_unsassign_all() parameter key', 'key:'.$key);
2646         }
2647     }
2649     if (isset($params['component']) and $params['component'] !== '' and strpos($params['component'], '_') === false) {
2650         throw new coding_exception('Invalid component paramter in role_unsassign_all() call', 'component:'.$params['component']);
2651     }
2653     if ($includemanual) {
2654         if (!isset($params['component']) or $params['component'] === '') {
2655             throw new coding_exception('include manual parameter requires component parameter in role_unsassign_all() call');
2656         }
2657     }
2659     if ($subcontexts) {
2660         if (empty($params['contextid'])) {
2661             throw new coding_exception('subcontexts paramtere requires component parameter in role_unsassign_all() call');
2662         }
2663     }
2665     $ras = $DB->get_records('role_assignments', $params);
2666     foreach($ras as $ra) {
2667         $DB->delete_records('role_assignments', array('id'=>$ra->id));
2668         if ($context = get_context_instance_by_id($ra->contextid)) {
2669             // this is a bit expensive but necessary
2670             mark_context_dirty($context->path);
2671             /// If the user is the current user, then do full reload of capabilities too.
2672             if (!empty($USER->id) && $USER->id == $ra->userid) {
2673                 load_all_capabilities();
2674             }
2675         }
2676         events_trigger('role_unassigned', $ra);
2677     }
2678     unset($ras);
2680     // process subcontexts
2681     if ($subcontexts and $context = get_context_instance_by_id($params['contextid'])) {
2682         $contexts = get_child_contexts($context);
2683         $mparams = $params;
2684         foreach($contexts as $context) {
2685             $mparams['contextid'] = $context->id;
2686             $ras = $DB->get_records('role_assignments', $mparams);
2687             foreach($ras as $ra) {
2688                 $DB->delete_records('role_assignments', array('id'=>$ra->id));
2689                 // this is a bit expensive but necessary
2690                 mark_context_dirty($context->path);
2691                 /// If the user is the current user, then do full reload of capabilities too.
2692                 if (!empty($USER->id) && $USER->id == $ra->userid) {
2693                     load_all_capabilities();
2694                 }
2695                 events_trigger('role_unassigned', $ra);
2696             }
2697         }
2698     }
2700     // do this once more for all manual role assignments
2701     if ($includemanual) {
2702         $params['component'] = '';
2703         role_unassign_all($params, $subcontexts, false);
2704     }
2708 /**
2709  * Determines if a user is currently logged in
2710  *
2711  * @return bool
2712  */
2713 function isloggedin() {
2714     global $USER;
2716     return (!empty($USER->id));
2719 /**
2720  * Determines if a user is logged in as real guest user with username 'guest'.
2721  *
2722  * @param int|object $user mixed user object or id, $USER if not specified
2723  * @return bool true if user is the real guest user, false if not logged in or other user
2724  */
2725 function isguestuser($user = NULL) {
2726     global $USER, $DB, $CFG;
2728     // make sure we have the user id cached in config table, because we are going to use it a lot
2729     if (empty($CFG->siteguest)) {
2730         if (!$guestid = $DB->get_field('user', 'id', array('username'=>'guest', 'mnethostid'=>$CFG->mnet_localhost_id))) {
2731             // guest does not exist yet, weird
2732             return false;
2733         }
2734         set_config('siteguest', $guestid);
2735     }
2736     if ($user === NULL) {
2737         $user = $USER;
2738     }
2740     if ($user === NULL) {
2741         // happens when setting the $USER
2742         return false;
2744     } else if (is_numeric($user)) {
2745         return ($CFG->siteguest == $user);
2747     } else if (is_object($user)) {
2748         if (empty($user->id)) {
2749             return false; // not logged in means is not be guest
2750         } else {
2751             return ($CFG->siteguest == $user->id);
2752         }
2754     } else {
2755         throw new coding_exception('Invalid user parameter supplied for isguestuser() function!');
2756     }
2759 /**
2760  * Does user have a (temporary or real) guest access to course?
2761  *
2762  * @param object $context
2763  * @param object|int $user
2764  * @return bool
2765  */
2766 function is_guest($context, $user = NULL) {
2767     global $USER;
2769     // first find the course context
2770     $coursecontext = get_course_context($context);
2772     // make sure there is a real user specified
2773     if ($user === NULL) {
2774         $userid = !empty($USER->id) ? $USER->id : 0;
2775     } else {
2776         $userid = !empty($user->id) ? $user->id : $user;
2777     }
2779     if (isguestuser($userid)) {
2780         // can not inspect or be enrolled
2781         return true;
2782     }
2784     if (has_capability('moodle/course:view', $coursecontext, $user)) {
2785         // viewing users appear out of nowhere, they are neither guests nor participants
2786         return false;
2787     }
2789     // consider only real active enrolments here
2790     if (is_enrolled($coursecontext, $user, '', true)) {
2791         return false;
2792     }
2794     return true;
2798 /**
2799  * Returns true if the user has moodle/course:view capability in the course,
2800  * this is intended for admins, managers (aka small admins), inspectors, etc.
2801  *
2802  * @param object $context
2803  * @param int|object $user, if NULL $USER is used
2804  * @param string $withcapability extra capability name
2805  * @return bool
2806  */
2807 function is_viewing($context, $user = NULL, $withcapability = '') {
2808     global $USER;
2810     // first find the course context
2811     $coursecontext = get_course_context($context);
2813     if (isguestuser($user)) {
2814         // can not inspect
2815         return false;
2816     }
2818     if (!has_capability('moodle/course:view', $coursecontext, $user)) {
2819         // admins are allowed to inspect courses
2820         return false;
2821     }
2823     if ($withcapability and !has_capability($withcapability, $context, $user)) {
2824         // site admins always have the capability, but the enrolment above blocks
2825         return false;
2826     }
2828     return true;
2831 /**
2832  * Returns true if user is enrolled (is participating) in course
2833  * this is intended for students and teachers.
2834  *
2835  * @param object $context
2836  * @param int|object $user, if NULL $USER is used, otherwise user object or id expected
2837  * @param string $withcapability extra capability name
2838  * @param bool $onlyactive consider only active enrolments in enabled plugins and time restrictions
2839  * @return bool
2840  */
2841 function is_enrolled($context, $user = NULL, $withcapability = '', $onlyactive = false) {
2842     global $USER, $DB;
2844     // first find the course context
2845     $coursecontext = get_course_context($context);
2847     // make sure there is a real user specified
2848     if ($user === NULL) {
2849         $userid = !empty($USER->id) ? $USER->id : 0;
2850     } else {
2851         $userid = !empty($user->id) ? $user->id : $user;
2852     }
2854     if (empty($userid)) {
2855         // not-logged-in!
2856         return false;
2857     } else if (isguestuser($userid)) {
2858         // guest account can not be enrolled anywhere
2859         return false;
2860     }
2862     if ($coursecontext->instanceid == SITEID) {
2863         // everybody participates on frontpage
2864     } else {
2865         if ($onlyactive) {
2866             $sql = "SELECT ue.*
2867                       FROM {user_enrolments} ue
2868                       JOIN {enrol} e ON (e.id = ue.enrolid AND e.courseid = :courseid)
2869                       JOIN {user} u ON u.id = ue.userid
2870                      WHERE ue.userid = :userid AND ue.status = :active AND e.status = :enabled AND u.deleted = 0";
2871             $params = array('enabled'=>ENROL_INSTANCE_ENABLED, 'active'=>ENROL_USER_ACTIVE, 'userid'=>$userid, 'courseid'=>$coursecontext->instanceid);
2872             // this result should be very small, better not do the complex time checks in sql for now ;-)
2873             $enrolments = $DB->get_records_sql($sql, $params);
2874             $now = time();
2875             // make sure the enrol period is ok
2876             $result = false;
2877             foreach ($enrolments as $e) {
2878                 if ($e->timestart > $now) {
2879                     continue;
2880                 }
2881                 if ($e->timeend and $e->timeend < $now) {
2882                     continue;
2883                 }
2884                 $result = true;
2885                 break;
2886             }
2887             if (!$result) {
2888                 return false;
2889             }
2891         } else {
2892             // any enrolment is good for us here, even outdated, disabled or inactive
2893             $sql = "SELECT 'x'
2894                       FROM {user_enrolments} ue
2895                       JOIN {enrol} e ON (e.id = ue.enrolid AND e.courseid = :courseid)
2896                       JOIN {user} u ON u.id = ue.userid
2897                      WHERE ue.userid = :userid AND u.deleted = 0";
2898             $params = array('userid'=>$userid, 'courseid'=>$coursecontext->instanceid);
2899             if (!$DB->record_exists_sql($sql, $params)) {
2900                 return false;
2901             }
2902         }
2903     }
2905     if ($withcapability and !has_capability($withcapability, $context, $userid)) {
2906         return false;
2907     }
2909     return true;
2912 /**
2913  * Returns array with sql code and parameters returning all ids
2914  * of users enrolled into course.
2915  *
2916  * This function is using 'eu[0-9]+_' prefix for table names and parameters.
2917  *
2918  * @param object $context
2919  * @param string $withcapability
2920  * @param int $groupid 0 means ignore groups, any other value limits the result by group id
2921  * @param bool $onlyactive consider only active enrolments in enabled plugins and time restrictions
2922  * @return array list($sql, $params)
2923  */
2924 function get_enrolled_sql($context, $withcapability = '', $groupid = 0, $onlyactive = false) {
2925     global $DB, $CFG;
2927     // use unique prefix just in case somebody makes some SQL magic with the result
2928     static $i = 0;
2929     $i++;
2930     $prefix = 'eu'.$i.'_';
2932     // first find the course context
2933     $coursecontext = get_course_context($context);
2935     $isfrontpage = ($coursecontext->instanceid == SITEID);
2937     $joins  = array();
2938     $wheres = array();
2939     $params = array();
2941     list($contextids, $contextpaths) = get_context_info_list($context);
2943     // get all relevant capability info for all roles
2944     if ($withcapability) {
2945         list($incontexts, $cparams) = $DB->get_in_or_equal($contextids, SQL_PARAMS_NAMED, 'ctx00');
2946         $cparams['cap'] = $withcapability;
2948         $defs = array();
2949         $sql = "SELECT rc.id, rc.roleid, rc.permission, ctx.path
2950                   FROM {role_capabilities} rc
2951                   JOIN {context} ctx on rc.contextid = ctx.id
2952                  WHERE rc.contextid $incontexts AND rc.capability = :cap";
2953         $rcs = $DB->get_records_sql($sql, $cparams);
2954         foreach ($rcs as $rc) {
2955             $defs[$rc->path][$rc->roleid] = $rc->permission;
2956         }
2958         $access = array();
2959         if (!empty($defs)) {
2960             foreach ($contextpaths as $path) {
2961                 if (empty($defs[$path])) {
2962                     continue;
2963                 }
2964                 foreach($defs[$path] as $roleid => $perm) {
2965                     if ($perm == CAP_PROHIBIT) {
2966                         $access[$roleid] = CAP_PROHIBIT;
2967                         continue;
2968                     }
2969                     if (!isset($access[$roleid])) {
2970                         $access[$roleid] = (int)$perm;
2971                     }
2972                 }
2973             }
2974         }
2976         unset($defs);
2978         // make lists of roles that are needed and prohibited
2979         $needed     = array(); // one of these is enough
2980         $prohibited = array(); // must not have any of these
2981         foreach ($access as $roleid => $perm) {
2982             if ($perm == CAP_PROHIBIT) {
2983                 unset($needed[$roleid]);
2984                 $prohibited[$roleid] = true;
2985             } else if ($perm == CAP_ALLOW and empty($prohibited[$roleid])) {
2986                 $needed[$roleid] = true;
2987             }
2988         }
2990         $defaultuserroleid      = isset($CFG->defaultuserroleid) ? $CFG->defaultuserroleid : NULL;
2991         $defaultfrontpageroleid = isset($CFG->defaultfrontpageroleid) ? $CFG->defaultfrontpageroleid : NULL;
2993         $nobody = false;
2995         if ($isfrontpage) {
2996             if (!empty($prohibited[$defaultuserroleid]) or !empty($prohibited[$defaultfrontpageroleid])) {
2997                 $nobody = true;
2998             } else if (!empty($needed[$defaultuserroleid]) or !empty($needed[$defaultfrontpageroleid])) {
2999                 // everybody not having prohibit has the capability
3000                 $needed = array();
3001             } else if (empty($needed)) {
3002                 $nobody = true;
3003             }
3004         } else {
3005             if (!empty($prohibited[$defaultuserroleid])) {
3006                 $nobody = true;
3007             } else if (!empty($needed[$defaultuserroleid])) {
3008                 // everybody not having prohibit has the capability
3009                 $needed = array();
3010             } else if (empty($needed)) {
3011                 $nobody = true;
3012             }
3013         }
3015         if ($nobody) {
3016             // nobody can match so return some SQL that does not return any results
3017             $wheres[] = "1 = 2";
3019         } else {
3021             if ($needed) {
3022                 $ctxids = implode(',', $contextids);
3023                 $roleids = implode(',', array_keys($needed));
3024                 $joins[] = "JOIN {role_assignments} {$prefix}ra3 ON ({$prefix}ra3.userid = {$prefix}u.id AND {$prefix}ra3.roleid IN ($roleids) AND {$prefix}ra3.contextid IN ($ctxids))";
3025             }
3027             if ($prohibited) {
3028                 $ctxids = implode(',', $contextids);
3029                 $roleids = implode(',', array_keys($prohibited));
3030                 $joins[] = "LEFT JOIN {role_assignments} {$prefix}ra4 ON ({$prefix}ra4.userid = {$prefix}u.id AND {$prefix}ra4.roleid IN ($roleids) AND {$prefix}ra4.contextid IN ($ctxids))";
3031                 $wheres[] = "{$prefix}ra4.id IS NULL";
3032             }
3034             if ($groupid) {
3035                 $joins[] = "JOIN {groups_members} {$prefix}gm ON ({$prefix}gm.userid = {$prefix}u.id AND {$prefix}gm.groupid = :{$prefix}gmid)";
3036                 $params["{$prefix}gmid"] = $groupid;
3037             }
3038         }
3040     } else {
3041         if ($groupid) {
3042             $joins[] = "JOIN {groups_members} {$prefix}gm ON ({$prefix}gm.userid = {$prefix}u.id AND {$prefix}gm.groupid = :{$prefix}gmid)";
3043             $params["{$prefix}gmid"] = $groupid;
3044         }
3045     }
3047     $wheres[] = "{$prefix}u.deleted = 0 AND {$prefix}u.id <> :{$prefix}guestid";
3048     $params["{$prefix}guestid"] = $CFG->siteguest;
3050     if ($isfrontpage) {
3051         // all users are "enrolled" on the frontpage
3052     } else {
3053         $joins[] = "JOIN {user_enrolments} {$prefix}ue ON {$prefix}ue.userid = {$prefix}u.id";
3054         $joins[] = "JOIN {enrol} {$prefix}e ON ({$prefix}e.id = {$prefix}ue.enrolid AND {$prefix}e.courseid = :{$prefix}courseid)";
3055         $params[$prefix.'courseid'] = $coursecontext->instanceid;
3057         if ($onlyactive) {
3058             $wheres[] = "{$prefix}ue.status = :{$prefix}active AND {$prefix}e.status = :{$prefix}enabled";
3059             $wheres[] = "{$prefix}ue.timestart < :{$prefix}now1 AND ({$prefix}ue.timeend = 0 OR {$prefix}ue.timeend > :{$prefix}now2)";
3060             $now = round(time(), -2); // rounding helps caching in DB
3061             $params = array_merge($params, array($prefix.'enabled'=>ENROL_INSTANCE_ENABLED,
3062                                                  $prefix.'active'=>ENROL_USER_ACTIVE,
3063                                                  $prefix.'now1'=>$now, $prefix.'now2'=>$now));
3064         }
3065     }
3067     $joins = implode("\n", $joins);
3068     $wheres = "WHERE ".implode(" AND ", $wheres);
3070     $sql = "SELECT DISTINCT {$prefix}u.id
3071                FROM {user} {$prefix}u
3072              $joins
3073             $wheres";
3075     return array($sql, $params);
3078 /**
3079  * Returns list of users enrolled into course.
3080  * @param object $context
3081  * @param string $withcapability
3082  * @param int $groupid 0 means ignore groups, any other value limits the result by group id
3083  * @param string $userfields requested user record fields
3084  * @param string $orderby
3085  * @param int $limitfrom return a subset of records, starting at this point (optional, required if $limitnum is set).
3086  * @param int $limitnum return a subset comprising this many records (optional, required if $limitfrom is set).
3087  * @return array of user records
3088  */
3089 function get_enrolled_users($context, $withcapability = '', $groupid = 0, $userfields = 'u.*', $orderby = '', $limitfrom = 0, $limitnum = 0) {
3090     global $DB;
3092     list($esql, $params) = get_enrolled_sql($context, $withcapability, $groupid);
3093     $sql = "SELECT $userfields
3094               FROM {user} u
3095               JOIN ($esql) je ON je.id = u.id
3096              WHERE u.deleted = 0";
3098     if ($orderby) {
3099         $sql = "$sql ORDER BY $orderby";
3100     } else {
3101         $sql = "$sql ORDER BY u.lastname ASC, u.firstname ASC";
3102     }
3104     return $DB->get_records_sql($sql, $params, $limitfrom, $limitnum);
3107 /**
3108  * Counts list of users enrolled into course (as per above function)
3109  * @param object $context
3110  * @param string $withcapability
3111  * @param int $groupid 0 means ignore groups, any other value limits the result by group id
3112  * @return array of user records
3113  */
3114 function count_enrolled_users($context, $withcapability = '', $groupid = 0) {
3115     global $DB;
3117     list($esql, $params) = get_enrolled_sql($context, $withcapability, $groupid);
3118     $sql = "SELECT count(u.id)
3119               FROM {user} u
3120               JOIN ($esql) je ON je.id = u.id
3121              WHERE u.deleted = 0";
3123     return $DB->count_records_sql($sql, $params);
3127 /**
3128  * Loads the capability definitions for the component (from file).
3129  *
3130  * Loads the capability definitions for the component (from file). If no
3131  * capabilities are defined for the component, we simply return an empty array.
3132  *
3133  * @global object
3134  * @param string $component full plugin name, examples: 'moodle', 'mod_forum'
3135  * @return array array of capabilities
3136  */
3137 function load_capability_def($component) {
3138     $defpath = get_component_directory($component).'/db/access.php';
3140     $capabilities = array();
3141     if (file_exists($defpath)) {
3142         require($defpath);
3143         if (!empty(${$component.'_capabilities'})) {
3144             // BC capability array name
3145             // since 2.0 we prefer $capabilities instead - it is easier to use and matches db/* files
3146             debugging('componentname_capabilities array is deprecated, please use capabilities array only in access.php files');
3147             $capabilities = ${$component.'_capabilities'};
3148         }
3149     }
3151     return $capabilities;
3155 /**
3156  * Gets the capabilities that have been cached in the database for this component.
3157  * @param string $component - examples: 'moodle', 'mod_forum'
3158  * @return array array of capabilities
3159  */
3160 function get_cached_capabilities($component='moodle') {
3161     global $DB;
3162     return $DB->get_records('capabilities', array('component'=>$component));
3165 /**
3166  * Returns default capabilities for given role archetype.
3167  * @param string $archetype role archetype
3168  * @return array
3169  */
3170 function get_default_capabilities($archetype) {
3171     global $DB;
3173     if (!$archetype) {
3174         return array();
3175     }
3177     $alldefs = array();
3178     $defaults = array();
3179     $components = array();
3180     $allcaps = $DB->get_records('capabilities');
3182     foreach ($allcaps as $cap) {
3183         if (!in_array($cap->component, $components)) {
3184             $components[] = $cap->component;
3185             $alldefs = array_merge($alldefs, load_capability_def($cap->component));
3186         }
3187     }
3188     foreach($alldefs as $name=>$def) {
3189         // Use array 'archetypes if available. Only if not specified, use 'legacy'.
3190         if (isset($def['archetypes'])) {
3191             if (isset($def['archetypes'][$archetype])) {
3192                 $defaults[$name] = $def['archetypes'][$archetype];
3193             }
3194         // 'legacy' is for backward compatibility with 1.9 access.php
3195         } else {
3196             if (isset($def['legacy'][$archetype])) {
3197                 $defaults[$name] = $def['legacy'][$archetype];
3198             }
3199         }
3200     }
3202     return $defaults;
3205 /**
3206  * Reset role capabilities to default according to selected role archetype.
3207  * If no archetype selected, removes all capabilities.
3208  * @param int $roleid
3209  */
3210 function reset_role_capabilities($roleid) {
3211     global $DB;
3213     $role = $DB->get_record('role', array('id'=>$roleid), '*', MUST_EXIST);
3214     $defaultcaps = get_default_capabilities($role->archetype);
3216     $sitecontext = get_context_instance(CONTEXT_SYSTEM);
3218     $DB->delete_records('role_capabilities', array('roleid'=>$roleid));
3220     foreach($defaultcaps as $cap=>$permission) {
3221         assign_capability($cap, $permission, $roleid, $sitecontext->id);
3222     }
3225 /**
3226  * Updates the capabilities table with the component capability definitions.
3227  * If no parameters are given, the function updates the core moodle
3228  * capabilities.
3229  *
3230  * Note that the absence of the db/access.php capabilities definition file
3231  * will cause any stored capabilities for the component to be removed from
3232  * the database.
3233  *
3234  * @global object
3235  * @param string $component examples: 'moodle', 'mod/forum', 'block/quiz_results'
3236  * @return boolean true if success, exception in case of any problems
3237  */
3238 function update_capabilities($component='moodle') {
3239     global $DB, $OUTPUT, $ACCESSLIB_PRIVATE;
3241     $storedcaps = array();
3243     $filecaps = load_capability_def($component);
3244     $cachedcaps = get_cached_capabilities($component);
3245     if ($cachedcaps) {
3246         foreach ($cachedcaps as $cachedcap) {
3247             array_push($storedcaps, $cachedcap->name);
3248             // update risk bitmasks and context levels in existing capabilities if needed
3249             if (array_key_exists($cachedcap->name, $filecaps)) {
3250                 if (!array_key_exists('riskbitmask', $filecaps[$cachedcap->name])) {
3251                     $filecaps[$cachedcap->name]['riskbitmask'] = 0; // no risk if not specified
3252                 }
3253                 if ($cachedcap->captype != $filecaps[$cachedcap->name]['captype']) {
3254                     $updatecap = new object();
3255                     $updatecap->id = $cachedcap->id;
3256                     $updatecap->captype = $filecaps[$cachedcap->name]['captype'];
3257                     $DB->update_record('capabilities', $updatecap);
3258                 }
3259                 if ($cachedcap->riskbitmask != $filecaps[$cachedcap->name]['riskbitmask']) {
3260                     $updatecap = new object();
3261                     $updatecap->id = $cachedcap->id;
3262                     $updatecap->riskbitmask = $filecaps[$cachedcap->name]['riskbitmask'];
3263                     $DB->update_record('capabilities', $updatecap);
3264                 }
3266                 if (!array_key_exists('contextlevel', $filecaps[$cachedcap->name])) {
3267                     $filecaps[$cachedcap->name]['contextlevel'] = 0; // no context level defined
3268                 }
3269                 if ($cachedcap->contextlevel != $filecaps[$cachedcap->name]['contextlevel']) {
3270                     $updatecap = new object();
3271                     $updatecap->id = $cachedcap->id;
3272                     $updatecap->contextlevel = $filecaps[$cachedcap->name]['contextlevel'];
3273                     $DB->update_record('capabilities', $updatecap);
3274                 }
3275             }
3276         }
3277     }
3279     // Are there new capabilities in the file definition?
3280     $newcaps = array();
3282     foreach ($filecaps as $filecap => $def) {
3283         if (!$storedcaps ||
3284                 ($storedcaps && in_array($filecap, $storedcaps) === false)) {
3285             if (!array_key_exists('riskbitmask', $def)) {
3286                 $def['riskbitmask'] = 0; // no risk if not specified
3287             }
3288             $newcaps[$filecap] = $def;
3289         }
3290     }
3291     // Add new capabilities to the stored definition.
3292     foreach ($newcaps as $capname => $capdef) {
3293         $capability = new object();
3294         $capability->name = $capname;
3295         $capability->captype = $capdef['captype'];
3296         $capability->contextlevel = $capdef['contextlevel'];
3297         $capability->component = $component;
3298         $capability->riskbitmask = $capdef['riskbitmask'];
3300         $DB->insert_record('capabilities', $capability, false);
3302         if (isset($capdef['clonepermissionsfrom']) && in_array($capdef['clonepermissionsfrom'], $storedcaps)){
3303             if ($rolecapabilities = $DB->get_records('role_capabilities', array('capability'=>$capdef['clonepermissionsfrom']))){
3304                 foreach ($rolecapabilities as $rolecapability){
3305                     //assign_capability will update rather than insert if capability exists
3306                     if (!assign_capability($capname, $rolecapability->permission,
3307                                             $rolecapability->roleid, $rolecapability->contextid, true)){
3308                          echo $OUTPUT->notification('Could not clone capabilities for '.$capname);
3309                     }
3310                 }
3311             }
3312         // we ignore archetype key if we have cloned permissions
3313         } else if (isset($capdef['archetypes']) && is_array($capdef['archetypes'])) {
3314             assign_legacy_capabilities($capname, $capdef['archetypes']);
3315         // 'legacy' is for backward compatibility with 1.9 access.php
3316         } else if (isset($capdef['legacy']) && is_array($capdef['legacy'])) {
3317             assign_legacy_capabilities($capname, $capdef['legacy']);
3318         }
3319     }
3320     // Are there any capabilities that have been removed from the file
3321     // definition that we need to delete from the stored capabilities and
3322     // role assignments?
3323     capabilities_cleanup($component, $filecaps);
3325     // reset static caches
3326     $ACCESSLIB_PRIVATE->capabilities = NULL;
3328     return true;
3332 /**
3333  * Deletes cached capabilities that are no longer needed by the component.
3334  * Also unassigns these capabilities from any roles that have them.
3335  *
3336  * @global object
3337  * @param string $component examples: 'moodle', 'mod/forum', 'block/quiz_results'
3338  * @param array $newcapdef array of the new capability definitions that will be
3339  *                     compared with the cached capabilities
3340  * @return int number of deprecated capabilities that have been removed
3341  */
3342 function capabilities_cleanup($component, $newcapdef=NULL) {
3343     global $DB;
3345     $removedcount = 0;
3347     if ($cachedcaps = get_cached_capabilities($component)) {
3348         foreach ($cachedcaps as $cachedcap) {
3349             if (empty($newcapdef) ||
3350                         array_key_exists($cachedcap->name, $newcapdef) === false) {
3352                 // Remove from capabilities cache.
3353                 $DB->delete_records('capabilities', array('name'=>$cachedcap->name));
3354                 $removedcount++;
3355                 // Delete from roles.
3356                 if ($roles = get_roles_with_capability($cachedcap->name)) {
3357                     foreach($roles as $role) {
3358                         if (!unassign_capability($cachedcap->name, $role->id)) {
3359                             print_error('cannotunassigncap', 'error', '', (object)array('cap'=>$cachedcap->name, 'role'=>$role->name));
3360                         }
3361                     }
3362                 }
3363             } // End if.
3364         }
3365     }
3366     return $removedcount;
3371 //////////////////
3372 // UI FUNCTIONS //
3373 //////////////////
3375 /**
3376  * @param integer $contextlevel $context->context level. One of the CONTEXT_... constants.
3377  * @return string the name for this type of context.
3378  */
3379 function get_contextlevel_name($contextlevel) {
3380     static $strcontextlevels = NULL;
3381     if (is_null($strcontextlevels)) {
3382         $strcontextlevels = array(
3383             CONTEXT_SYSTEM => get_string('coresystem'),
3384             CONTEXT_USER => get_string('user'),
3385             CONTEXT_COURSECAT => get_string('category'),
3386             CONTEXT_COURSE => get_string('course'),
3387             CONTEXT_MODULE => get_string('activitymodule'),
3388             CONTEXT_BLOCK => get_string('block')
3389         );
3390     }
3391     return $strcontextlevels[$contextlevel];
3394 /**
3395  * Prints human readable context identifier.
3396  *
3397  * @global object
3398  * @param object $context the context.
3399  * @param boolean $withprefix whether to prefix the name of the context with the
3400  *      type of context, e.g. User, Course, Forum, etc.
3401  * @param boolean $short whether to user the short name of the thing. Only applies
3402  *      to course contexts
3403  * @return string the human readable context name.
3404  */
3405 function print_context_name($context, $withprefix = true, $short = false) {
3406     global $DB;
3408     $name = '';
3409     switch ($context->contextlevel) {
3411         case CONTEXT_SYSTEM:
3412             $name = get_string('coresystem');
3413             break;
3415         case CONTEXT_USER:
3416             if ($user = $DB->get_record('user', array('id'=>$context->instanceid))) {
3417                 if ($withprefix){
3418                     $name = get_string('user').': ';
3419                 }
3420                 $name .= fullname($user);
3421             }
3422             break;
3424         case CONTEXT_COURSECAT:
3425             if ($category = $DB->get_record('course_categories', array('id'=>$context->instanceid))) {
3426                 if ($withprefix){
3427                     $name = get_string('category').': ';
3428                 }
3429                 $name .=format_string($category->name);
3430             }
3431             break;
3433         case CONTEXT_COURSE:
3434             if ($context->instanceid == SITEID) {
3435                 $name = get_string('frontpage', 'admin');
3436             } else {
3437                 if ($course = $DB->get_record('course', array('id'=>$context->instanceid))) {
3438                     if ($withprefix){
3439                         $name = get_string('course').': ';
3440                     }
3441                     if ($short){
3442                         $name .= format_string($course->shortname);
3443                     } else {
3444                         $name .= format_string($course->fullname);
3445                    }
3446                 }
3447             }
3448             break;
3450         case CONTEXT_MODULE:
3451             if ($cm = $DB->get_record_sql('SELECT cm.*, md.name AS modname FROM {course_modules} cm ' .
3452                     'JOIN {modules} md ON md.id = cm.module WHERE cm.id = ?', array($context->instanceid))) {
3453                 if ($mod = $DB->get_record($cm->modname, array('id' => $cm->instance))) {
3454                         if ($withprefix){
3455                         $name = get_string('modulename', $cm->modname).': ';
3456                         }
3457                         $name .= $mod->name;
3458                     }
3459                 }
3460             break;
3462         case CONTEXT_BLOCK:
3463             if ($blockinstance = $DB->get_record('block_instances', array('id'=>$context->instanceid))) {
3464                 global $CFG;
3465                 require_once("$CFG->dirroot/blocks/moodleblock.class.php");
3466                 require_once("$CFG->dirroot/blocks/$blockinstance->blockname/block_$blockinstance->blockname.php");
3467                 $blockname = "block_$blockinstance->blockname";
3468                 if ($blockobject = new $blockname()) {
3469                     if ($withprefix){
3470                         $name = get_string('block').': ';
3471                     }
3472                     $name .= $blockobject->title;
3473                 }
3474             }
3475             break;
3477         default:
3478             print_error('unknowncontext');
3479             return false;
3480     }
3482     return $name;
3485 /**
3486  * Get a URL for a context, if there is a natural one. For example, for
3487  * CONTEXT_COURSE, this is the course page. For CONTEXT_USER it is the
3488  * user profile page.
3489  *
3490  * @param object $context the context.
3491  * @return moodle_url
3492  */
3493 function get_context_url($context) {
3494     global $COURSE, $DB;
3496     switch ($context->contextlevel) {
3497         case CONTEXT_USER:
3498             if ($COURSE->id == SITEID) {
3499                 $url = new moodle_url('/user/profile.php', array('id'=>$context->instanceid));
3500             } else {
3501                 $url = new moodle_url('/user/view.php', array('id'=>$context->instanceid, 'courseid'=>$COURSE->id));
3502             }
3503             return $url;;
3505         case CONTEXT_COURSECAT: // Coursecat -> coursecat or site
3506             return new moodle_url('/course/category.php', array('id'=>$context->instanceid));
3508         case CONTEXT_COURSE: // 1 to 1 to course cat
3509             if ($context->instanceid != SITEID) {
3510                 return new moodle_url('/course/view.php', array('id'=>$context->instanceid));
3511             }
3512             break;
3514         case CONTEXT_MODULE: // 1 to 1 to course
3515             if ($modname = $DB->get_field_sql('SELECT md.name AS modname FROM {course_modules} cm ' .
3516                     'JOIN {modules} md ON md.id = cm.module WHERE cm.id = ?', array($context->instanceid))) {
3517                 return new moodle_url('/mod/' . $modname . '/view.php', array('id'=>$context->instanceid));
3518             }
3519             break;
3521         case CONTEXT_BLOCK:
3522             $parentcontexts = get_parent_contexts($context, false);
3523             $parent = reset($parentcontexts);
3524             $parent = get_context_instance_by_id($parent);
3525             return get_context_url($parent);
3526     }
3528     return new moodle_url('/');
3531 /**
3532  * Returns an array of all the known types of risk
3533  * The array keys can be used, for example as CSS class names, or in calls to
3534  * print_risk_icon. The values are the corresponding RISK_ constants.
3535  *
3536  * @return array all the known types of risk.
3537  */
3538 function get_all_risks() {
3539     return array(
3540         'riskmanagetrust' => RISK_MANAGETRUST,
3541         'riskconfig' => RISK_CONFIG,
3542         'riskxss' => RISK_XSS,
3543         'riskpersonal' => RISK_PERSONAL,
3544         'riskspam' => RISK_SPAM,
3545         'riskdataloss' => RISK_DATALOSS,
3546     );
3549 /**
3550  * Return a link to moodle docs for a given capability name
3551  *
3552  * @global object
3553  * @param object $capability a capability - a row from the mdl_capabilities table.
3554  * @return string the human-readable capability name as a link to Moodle Docs.
3555  */
3556 function get_capability_docs_link($capability) {
3557     global $CFG;
3558     $url = get_docs_url('Capabilities/' . $capability->name);
3559     return '<a onclick="this.target=\'docspopup\'" href="' . $url . '">' . get_capability_string($capability->name) . '</a>';
3562 /**
3563  * Extracts the relevant capabilities given a contextid.
3564  * All case based, example an instance of forum context.
3565  * Will fetch all forum related capabilities, while course contexts
3566  * Will fetch all capabilities
3567  *
3568  * capabilities
3569  * `name` varchar(150) NOT NULL,
3570  * `captype` varchar(50) NOT NULL,
3571  * `contextlevel` int(10) NOT NULL,
3572  * `component` varchar(100) NOT NULL,
3573  *
3574  * @global object
3575  * @global object
3576  * @param object context
3577  * @return array
3578  */
3579 function fetch_context_capabilities($context) {
3580     global $DB, $CFG;
3582     $sort = 'ORDER BY contextlevel,component,name';   // To group them sensibly for display
3584     $params = array();
3586     switch ($context->contextlevel) {
3588         case CONTEXT_SYSTEM: // all
3589             $SQL = "SELECT *
3590                       FROM {capabilities}";
3591         break;
3593         case CONTEXT_USER:
3594             $extracaps = array('moodle/grade:viewall');
3595             list($extra, $params) = $DB->get_in_or_equal($extracaps, SQL_PARAMS_NAMED, 'cap0');
3596             $SQL = "SELECT *
3597                       FROM {capabilities}
3598                      WHERE contextlevel = ".CONTEXT_USER."
3599                            OR name $extra";
3600         break;
3602         case CONTEXT_COURSECAT: // course category context and bellow
3603             $SQL = "SELECT *
3604                       FROM {capabilities}
3605                      WHERE contextlevel IN (".CONTEXT_COURSECAT.",".CONTEXT_COURSE.",".CONTEXT_MODULE.",".CONTEXT_BLOCK.")";
3606         break;
3608         case CONTEXT_COURSE: // course context and bellow
3609             $SQL = "SELECT *
3610                       FROM {capabilities}
3611                      WHERE contextlevel IN (".CONTEXT_COURSE.",".CONTEXT_MODULE.",".CONTEXT_BLOCK.")";
3612         break;
3614         case CONTEXT_MODULE: // mod caps
3615             $cm = $DB->get_record('course_modules', array('id'=>$context->instanceid));
3616             $module = $DB->get_record('modules', array('id'=>$cm->module));
3618             $modfile = "$CFG->dirroot/mod/$module->name/lib.php";
3619             if (file_exists($modfile)) {
3620                 include_once($modfile);
3621                 $modfunction = $module->name.'_get_extra_capabilities';
3622                 if (function_exists($modfunction)) {
3623                     $extracaps = $modfunction();
3624                 }
3625             }
3626             if(empty($extracaps)) {
3627                 $extracaps = array();
3628             }
3630             // All modules allow viewhiddenactivities. This is so you can hide
3631             // the module then override to allow specific roles to see it.
3632             // The actual check is in course page so not module-specific
3633             $extracaps[]="moodle/course:viewhiddenactivities";
3634             list($extra, $params) = $DB->get_in_or_equal(
3635                 $extracaps, SQL_PARAMS_NAMED, 'cap0');
3636             $extra = "OR name $extra";
3638             $SQL = "SELECT *
3639                       FROM {capabilities}
3640                      WHERE (contextlevel = ".CONTEXT_MODULE."
3641                            AND component = :component)
3642                            $extra";
3643             $params['component'] = "mod_$module->name";
3644         break;
3646         case CONTEXT_BLOCK: // block caps
3647             $bi = $DB->get_record('block_instances', array('id' => $context->instanceid));
3649             $extra = '';
3650             $extracaps = block_method_result($bi->blockname, 'get_extra_capabilities');
3651             if ($extracaps) {
3652                 list($extra, $params) = $DB->get_in_or_equal($extracaps, SQL_PARAMS_NAMED, 'cap0');
3653                 $extra = "OR name $extra";
3654             }
3656             $SQL = "SELECT *
3657                       FROM {capabilities}
3658                      WHERE (contextlevel = ".CONTEXT_BLOCK."
3659                            AND component = :component)
3660                            $extra";
3661             $params['component'] = 'block_' . $bi->blockname;
3662         break;
3664         default:
3665         return false;
3666     }
3668     if (!$records = $DB->get_records_sql($SQL.' '.$sort, $params)) {
3669         $records = array();
3670     }
3672     return $records;
3676 /**
3677  * This function pulls out all the resolved capabilities (overrides and
3678  * defaults) of a role used in capability overrides in contexts at a given
3679  * context.
3680  *
3681  * @global object
3682  * @param obj $context
3683  * @param int $roleid
3684  * @param string $cap capability, optional, defaults to ''
3685  * @param bool if set to true, resolve till this level, else stop at immediate parent level
3686  * @return array
3687  */
3688 function role_context_capabilities($roleid, $context, $cap='') {
3689     global $DB;
3691     $contexts = get_parent_contexts($context);
3692     $contexts[] = $context->id;
3693     $contexts = '('.implode(',', $contexts).')';
3695     $params = array($roleid);
3697     if ($cap) {
3698         $search = " AND rc.capability = ? ";
3699         $params[] = $cap;
3700     } else {
3701         $search = '';
3702     }
3704     $sql = "SELECT rc.*
3705               FROM {role_capabilities} rc, {context} c
3706              WHERE rc.contextid in $contexts
3707                    AND rc.roleid = ?
3708                    AND rc.contextid = c.id $search
3709           ORDER BY c.contextlevel DESC, rc.capability DESC";
3711     $capabilities = array();
3713     if ($records = $DB->get_records_sql($sql, $params)) {
3714         // We are traversing via reverse order.
3715         foreach ($records as $record) {
3716             // If not set yet (i.e. inherit or not set at all), or currently we have a prohibit
3717             if (!isset($capabilities[$record->capability]) || $record->permission<-500) {
3718                 $capabilities[$record->capability] = $record->permission;
3719             }
3720         }
3721     }
3722     return $capabilities;
3725 /**
3726  * Recursive function which, given a context, find all parent context ids,
3727  * and return the array in reverse order, i.e. parent first, then grand
3728  * parent, etc.
3729  *
3730  * @param object $context
3731  * @param bool $capability optional, defaults to false
3732  * @return array
3733  */
3734 function get_parent_contexts($context, $includeself = false) {
3736     if ($context->path == '') {
3737         return array();
3738     }
3740     $parentcontexts = substr($context->path, 1); // kill leading slash
3741     $parentcontexts = explode('/', $parentcontexts);
3742     if (!$includeself) {
3743         array_pop($parentcontexts); // and remove its own id
3744     }
3746     return array_reverse($parentcontexts);
3749 /**
3750  * Return the id of the parent of this context, or false if there is no parent (only happens if this
3751  * is the site context.)
3752  *
3753  * @param object $context
3754  * @return integer the id of the parent context.
3755  */
3756 function get_parent_contextid($context) {
3757     $parentcontexts = get_parent_contexts($context);
3758     if (count($parentcontexts) == 0) {
3759         return false;
3760     }
3761     return array_shift($parentcontexts);
3764 /**
3765  * Constructs array with contextids as first parameter and context paths,
3766  * in both cases bottom top including self.
3767  *
3768  * @param object $context
3769  * @return array
3770  */
3771 function get_context_info_list($context) {
3772     $contextids = explode('/', ltrim($context->path, '/'));
3773     $contextpaths = array();
3774     $contextids2 = $contextids;
3775     while ($contextids2) {
3776         $contextpaths[] = '/' . implode('/', $contextids2);
3777         array_pop($contextids2);
3778     }
3779     return array($contextids, $contextpaths);
3782 /**
3783  * Find course context
3784  * @param object $context - course or lower context
3785  * @return object context of the enclosing course, throws exception when related course context can not be found
3786  */
3787 function get_course_context($context) {
3788     if (empty($context->contextlevel)) {
3789         throw new coding_exception('Invalid context parameter.');
3791     } if ($context->contextlevel == CONTEXT_COURSE) {
3792         return $context;
3794     } else if ($context->contextlevel == CONTEXT_MODULE) {
3795         return get_context_instance_by_id(get_parent_contextid($context, MUST_EXIST));
3797     } else if ($context->contextlevel == CONTEXT_BLOCK) {
3798         $parentcontext = get_context_instance_by_id(get_parent_contextid($context, MUST_EXIST));
3799         if ($parentcontext->contextlevel == CONTEXT_COURSE) {
3800             return $parentcontext;
3801         } else if ($parentcontext->contextlevel == CONTEXT_MODULE) {
3802             return get_context_instance_by_id(get_parent_contextid($parentcontext, MUST_EXIST));
3803         } else {
3804             throw new coding_exception('Invalid level of block context parameter.');
3805         }
3806     }
3808     throw new coding_exception('Invalid context level of parameter.');
3811 /**
3812  * Check if context is the front page context or a context inside it
3813  *
3814  * Returns true if this context is the front page context, or a context inside it,
3815  * otherwise false.
3816  *
3817  * @param object $context a context object.
3818  * @return bool
3819  */
3820 function is_inside_frontpage($context) {
3821     $frontpagecontext = get_context_instance(CONTEXT_COURSE, SITEID);
3822     return strpos($context->path . '/', $frontpagecontext->path . '/') === 0;
3825 /**
3826  * Runs get_records select on context table and returns the result
3827  * Does get_records_select on the context table, and returns the results ordered
3828  * by contextlevel, and then the natural sort order within each level.
3829  * for the purpose of $select, you need to know that the context table has been
3830  * aliased to ctx, so for example, you can call get_sorted_contexts('ctx.depth = 3');
3831  *
3832  * @global object
3833  * @param string $select the contents of the WHERE clause. Remember to do ctx.fieldname.
3834  * @param array $params any parameters required by $select.
3835  * @return array the requested context records.
3836  */
3837 function get_sorted_contexts($select, $params = array()) {
3838     global $DB;
3839     if ($select) {
3840         $select = 'WHERE ' . $select;
3841     }
3842     return $DB->get_records_sql("
3843             SELECT ctx.*
3844             FROM {context} ctx
3845             LEFT JOIN {user} u ON ctx.contextlevel = " . CONTEXT_USER . " AND u.id = ctx.instanceid
3846             LEFT JOIN {course_categories} cat ON ctx.contextlevel = " . CONTEXT_COURSECAT . " AND cat.id = ctx.instanceid
3847             LEFT JOIN {course} c ON ctx.contextlevel = " . CONTEXT_COURSE . " AND c.id = ctx.instanceid
3848             LEFT JOIN {course_modules} cm ON ctx.contextlevel = " . CONTEXT_MODULE . " AND cm.id = ctx.instanceid
3849             LEFT JOIN {block_instances} bi ON ctx.contextlevel = " . CONTEXT_BLOCK . " AND bi.id = ctx.instanceid
3850             $select
3851             ORDER BY ctx.contextlevel, bi.defaultregion, COALESCE(cat.sortorder, c.sortorder, cm.section, bi.defaultweight), u.lastname, u.firstname, cm.id
3852             ", $params);
3855 /**
3856  * Recursive function which, given a context, find all its children context ids.
3857  *
3858  * When called for a course context, it will return the modules and blocks
3859  * displayed in the course page.
3860  *
3861  * For course category contexts it will return categories and courses. It will
3862  * NOT recurse into courses, nor return blocks on the category pages. If you
3863  * want to do that, call it on the returned courses.
3864  *
3865  * If called on a course context it _will_ populate the cache with the appropriate
3866  * contexts ;-)
3867  *
3868  * @param object $context.
3869  * @return array Array of child records
3870  */
3871 function get_child_contexts($context) {
3873     global $DB, $ACCESSLIB_PRIVATE;
3875     // We *MUST* populate the context_cache as the callers
3876     // will probably ask for the full record anyway soon after
3877     // soon after calling us ;-)
3879     $array = array();
3881     switch ($context->contextlevel) {
3883         case CONTEXT_BLOCK:
3884             // No children.
3885         break;
3887         case CONTEXT_MODULE:
3888             // Find
3889             // - blocks under this context path.
3890             $sql = " SELECT ctx.*
3891                        FROM {context} ctx
3892                       WHERE ctx.path LIKE ?
3893                             AND ctx.contextlevel = ".CONTEXT_BLOCK;
3894             $params = array("{$context->path}/%", $context->instanceid);
3895             $records = $DB->get_recordset_sql($sql, $params);
3896             foreach ($records as $rec) {
3897                 cache_context($rec);
3898                 $array[$rec->id] = $rec;
3899             }
3900             break;
3902         case CONTEXT_COURSE:
3903             // Find
3904             // - modules and blocks under this context path.
3905             $sql = " SELECT ctx.*
3906                        FROM {context} ctx
3907                       WHERE ctx.path LIKE ?
3908                             AND ctx.contextlevel IN (".CONTEXT_MODULE.",".CONTEXT_BLOCK.")";
3909             $params = array("{$context->path}/%", $context->instanceid);
3910             $records = $DB->get_recordset_sql($sql, $params);
3911             foreach ($records as $rec) {
3912                 cache_context($rec);
3913                 $array[$rec->id] = $rec;
3914             }
3915         break;
3917         case CONTEXT_COURSECAT:
3918             // Find
3919             // - categories
3920             // - courses
3921             $sql = " SELECT ctx.*
3922                        FROM {context} ctx
3923                       WHERE ctx.path LIKE ?
3924                             AND ctx.contextlevel IN (".CONTEXT_COURSECAT.",".CONTEXT_COURSE.")";
3925             $params = array("{$context->path}/%");
3926             $records = $DB->get_recordset_sql($sql, $params);
3927             foreach ($records as $rec) {
3928                 cache_context($rec);
3929                 $array[$rec->id] = $rec;
3930             }
3931         break;
3933         case CONTEXT_USER:
3934             // Find
3935             // - blocks under this context path.
3936             $sql = " SELECT ctx.*
3937                        FROM {context} ctx
3938                       WHERE ctx.path LIKE ?
3939                             AND ctx.contextlevel = ".CONTEXT_BLOCK;
3940             $params = array("{$context->path}/%", $context->instanceid);
3941             $records = $DB->get_recordset_sql($sql, $params);
3942             foreach ($records as $rec) {
3943                 cache_context($rec);
3944                 $array[$rec->id] = $rec;
3945             }
3946             break;
3948         case CONTEXT_SYSTEM:
3949             // Just get all the contexts except for CONTEXT_SYSTEM level
3950             // and hope we don't OOM in the process - don't cache
3951             $sql = "SELECT c.*
3952                       FROM {context} c
3953                      WHERE contextlevel != ".CONTEXT_SYSTEM;
3955             $records = $DB->get_records_sql($sql);
3956             foreach ($records as $rec) {
3957                 $array[$rec->id] = $rec;
3958             }
3959         break;
3961         default:
3962             print_error('unknowcontext', '', '', $context->contextlevel);
3963             return false;
3964     }
3965     return $array;
3969 /**
3970  * Gets a string for sql calls, searching for stuff in this context or above
3971  *
3972  * @param object $context
3973  * @return string
3974  */
3975 function get_related_contexts_string($context) {
3976     if ($parents = get_parent_contexts($context)) {
3977         return (' IN ('.$context->id.','.implode(',', $parents).')');
3978     } else {
3979         return (' ='.$context->id);
3980     }
3983 /**
3984  * Returns capability information (cached)
3985  *
3986  * @param string $capabilityname
3987  * @return object or NULL if capability not found
3988  */
3989 function get_capability_info($capabilityname) {
3990     global $ACCESSLIB_PRIVATE, $DB; // one request per page only
3992     // TODO: cache this in shared memory if available, use new $CFG->roledefrev for version check
3994     if (empty($ACCESSLIB_PRIVATE->capabilities)) {
3995         $ACCESSLIB_PRIVATE->capabilities = array();
3996         $caps = $DB->get_records('capabilities', array(), 'id, name, captype, riskbitmask');
3997         foreach ($caps as $cap) {
3998             $capname = $cap->name;
3999             unset($cap->id);
4000             unset($cap->name);
4001             $ACCESSLIB_PRIVATE->capabilities[$capname] = $cap;
4002         }
4003     }
4005     return isset($ACCESSLIB_PRIVATE->capabilities[$capabilityname]) ? $ACCESSLIB_PRIVATE->capabilities[$capabilityname] : NULL;
4008 /**
4009  * Returns the human-readable, translated version of the capability.
4010  * Basically a big switch statement.
4011  *
4012  * @param string $capabilityname e.g. mod/choice:readresponses
4013  * @return string
4014  */
4015 function get_capability_string($capabilityname) {
4017     // Typical capability name is 'plugintype/pluginname:capabilityname'
4018     list($type, $name, $capname) = preg_split('|[/:]|', $capabilityname);
4020     if ($type === 'moodle') {
4021         $component = 'core_role';
4022     } else if ($type === 'quizreport') {
4023         //ugly hack!!
4024         $component = 'quiz_'.$name;
4025     } else {
4026         $component = $type.'_'.$name;
4027     }
4029     $stringname = $name.':'.$capname;
4031     if ($component === 'core_role' or get_string_manager()->string_exists($stringname, $component)) {
4032         return get_string($stringname, $component);
4033     }
4035     $dir = get_component_directory($component);
4036     if (!file_exists($dir)) {
4037         // plugin broken or does not exist, do not bother with printing of debug message
4038         return $capabilityname.' ???';
4039     }
4041     // something is wrong in plugin, better print debug
4042     return get_string($stringname, $component);
4046 /**
4047  * This gets the mod/block/course/core etc strings.
4048  *
4049  * @param string $component
4050  * @param int $contextlevel
4051  * @return string|bool String is success, false if failed
4052  */
4053 function get_component_string($component, $contextlevel) {
4055     if ($component === 'moodle' or $component === 'core') {
4056         switch ($contextlevel) {
4057             case CONTEXT_SYSTEM:    return get_string('coresystem');
4058             case CONTEXT_USER:      return get_string('users');
4059             case CONTEXT_COURSECAT: return get_string('categories');
4060             case CONTEXT_COURSE:    return get_string('course');
4061             case CONTEXT_MODULE:    return get_string('activities');
4062             case CONTEXT_BLOCK:     return get_string('block');
4063             default:                print_error('unknowncontext');
4064         }
4065     }
4067     list($type, $name) = normalize_component($component);
4068     $dir = get_plugin_directory($type, $name);
4069     if (!file_exists($dir)) {
4070         // plugin not installed, bad luck, there is no way to find the name
4071         return $component.' ???';
4072     }
4074     switch ($type) {
4075         case 'quiz':         return get_string($name.':componentname', $component);// insane hack!!!
4076         case 'repository':   return get_string('repository', 'repository').': '.get_string('pluginname', $component);
4077         case 'gradeimport':  return get_string('gradeimport', 'grades').': '.get_string('pluginname', $component);
4078         case 'gradeexport':  return get_string('gradeexport', 'grades').': '.get_string('pluginname', $component);
4079         case 'gradereport':  return get_string('gradereport', 'grades').': '.get_string('pluginname', $component);
4080         case 'webservice':   return get_string('webservice', 'webservice').': '.get_string('pluginname', $component);
4081         case 'block':        return get_string('block').': '.get_string('pluginname', basename($component));
4082         case 'mod':
4083             if (get_string_manager()->string_exists('pluginname', $component)) {
4084                 return get_string('activity').': '.get_string('pluginname', $component);
4085             } else {
4086                 return get_string('activity').': '.get_string('modulename', $component);
4087             }
4088         default: return get_string('pluginname', $component);
4089     }
4092 /**
4093  * Gets the list of roles assigned to this context and up (parents)
4094  * from the list of roles that are visible on user profile page
4095  * and participants page.
4096  *
4097  * @param object $context
4098  * @return array
4099  */
4100 function get_profile_roles($context) {
4101     global $CFG, $DB;
4103     if (empty($CFG->profileroles)) {
4104         return array();
4105     }
4107     $allowed = explode(',', $CFG->profileroles);
4108     list($rallowed, $params) = $DB->get_in_or_equal($allowed, SQL_PARAMS_NAMED);
4110     $contextlist = get_related_contexts_string($context);
4112     $sql = "SELECT DISTINCT r.id, r.name, r.shortname, r.sortorder
4113               FROM {role_assignments} ra, {role} r
4114              WHERE r.id = ra.roleid
4115                    AND ra.contextid $contextlist
4116                    AND r.id $rallowed
4117           ORDER BY r.sortorder ASC";
4119     return $DB->get_records_sql($sql, $params);
4122 /**
4123  * Gets the list of roles assigned to this context and up (parents)
4124  *
4125  * @param object $context
4126  * @return array
4127  */
4128 function get_roles_used_in_context($context) {
4129     global $DB;
4131     $contextlist = get_related_contexts_string($context);
4133     $sql = "SELECT DISTINCT r.id, r.name, r.shortname, r.sortorder
4134               FROM {role_assignments} ra, {role} r
4135              WHERE r.id = ra.roleid
4136                    AND ra.contextid $contextlist
4137           ORDER BY r.sortorder ASC";
4139     return $DB->get_records_sql($sql);
4142 /**
4143  * This function is used to print roles column in user profile page.
4144  * It is using the CFG->profileroles to limit the list to only interesting roles.
4145  * (The permission tab has full details of user role assignments.)
4146  *
4147  * @param int $userid
4148  * @param int $courseid
4149  * @return string
4150  */
4151 function get_user_roles_in_course($userid, $courseid) {
4152     global $CFG, $DB,$USER;
4154     if (empty($CFG->profileroles)) {
4155         return '';
4156     }
4158     if ($courseid == SITEID) {
4159         $context = get_context_instance(CONTEXT_SYSTEM);
4160     } else {
4161         $context = get_context_instance(CONTEXT_COURSE, $courseid);
4162     }
4164     if (empty($CFG->profileroles)) {
4165         return array();
4166     }
4168     $allowed = explode(',', $CFG->profileroles);
4169     list($rallowed, $params) = $DB->get_in_or_equal($allowed, SQL_PARAMS_NAMED);
4171     $contextlist = get_related_contexts_string($context);
4173     $sql = "SELECT DISTINCT r.id, r.name, r.shortname, r.sortorder
4174               FROM {role_assignments} ra, {role} r
4175              WHERE r.id = ra.roleid
4176                    AND ra.contextid $contextlist
4177                    AND r.id $rallowed
4178                    AND ra.userid = :userid
4179           ORDER BY r.sortorder ASC";
4180     $params['userid'] = $userid;
4182     $rolestring = '';
4184     if ($roles = $DB->get_records_sql($sql, $params)) {
4185         foreach ($roles as $userrole) {
4186             $rolenames[$userrole->id] = $userrole->name;
4187         }
4189         $rolenames = role_fix_names($rolenames, $context);   // Substitute aliases
4191         foreach ($rolenames as $roleid => $rolename) {
4192             $rolenames[$roleid] = '<a href="'.$CFG->wwwroot.'/user/index.php?contextid='.$context->id.'&amp;roleid='.$roleid.'">'.$rolename.'</a>';
4193         }
4194         $rolestring = implode(',', $rolenames);
4195     }
4197     return $rolestring;
4200 /**
4201  * Checks if a user can assign users to a particular role in this context
4202  *
4203  * @global object
4204  * @param object $context
4205  * @param int $targetroleid - the id of the role you want to assign users to
4206  * @return boolean
4207  */
4208 function user_can_assign($context, $targetroleid) {
4209     global $DB;
4211     // first check if user has override capability
4212     // if not return false;
4213     if (!has_capability('moodle/role:assign', $context)) {
4214         return false;
4215     }
4216     // pull out all active roles of this user from this context(or above)
4217     if ($userroles = get_user_roles($context)) {
4218         foreach ($userroles as $userrole) {
4219             // if any in the role_allow_override table, then it's ok
4220             if ($DB->get_record('role_allow_assign', array('roleid'=>$userrole->roleid, 'allowassign'=>$targetroleid))) {
4221                 return true;
4222             }
4223         }
4224     }
4226     return false;
4229 /**
4230  * Returns all site roles in correct sort order.
4231  *
4232  * @return array
4233  */
4234 function get_all_roles() {
4235     global $DB;
4236     return $DB->get_records('role', NULL, 'sortorder ASC');
4239 /**
4240  * Returns roles of a specified archetype
4241  * @param string $archetype
4242  * @return array of full role records
4243  */
4244 function get_archetype_roles($archetype) {
4245     global $DB;
4246     return $DB->get_records('role', array('archetype'=>$archetype), 'sortorder ASC');
4249 /**
4250  * Gets all the user roles assigned in this context, or higher contexts
4251  * this is mainly used when checking if a user can assign a role, or overriding a role
4252  * i.e. we need to know what this user holds, in order to verify against allow_assign and
4253  * allow_override tables
4254  *
4255  * @param object $context
4256  * @param int $userid
4257  * @param bool $checkparentcontexts defaults to true
4258  * @param string $order defaults to 'c.contextlevel DESC, r.sortorder ASC'
4259  * @return array
4260  */
4261 function get_user_roles($context, $userid=0, $checkparentcontexts=true, $order='c.contextlevel DESC, r.sortorder ASC') {
4262     global $USER, $DB;
4264     if (empty($userid)) {
4265         if (empty($USER->id)) {
4266             return array();
4267         }
4268         $userid = $USER->id;
4269     }
4271     if ($checkparentcontexts) {
4272         $contextids = get_parent_contexts($context);
4273     } else {
4274         $contextids = array();
4275     }
4276     $contextids[] = $context->id;
4278     list($contextids, $params) = $DB->get_in_or_equal($contextids, SQL_PARAMS_QM);
4280     array_unshift($params, $userid);
4282     $sql = "SELECT ra.*, r.name, r.shortname
4283               FROM {role_assignments} ra, {role} r, {context} c
4284              WHERE ra.userid = ?
4285                    AND ra.roleid = r.id
4286                    AND ra.contextid = c.id
4287                    AND ra.contextid $contextids
4288           ORDER BY $order";
4290     return $DB->get_records_sql($sql ,$params);
4293 /**
4294  * Creates a record in the role_allow_override table
4295  *
4296  * @global object
4297  * @param int $sroleid source roleid
4298  * @param int $troleid target roleid
4299  * @return int id or false
4300  */
4301 function allow_override($sroleid, $troleid) {
4302     global $DB;
4304     $record = new object();
4305     $record->roleid        = $sroleid;
4306     $record->allowoverride = $troleid;
4307     $DB->insert_record('role_allow_override', $record);
4310 /**
4311  * Creates a record in the role_allow_assign table
4312  *
4313  * @global object
4314  * @param int $sroleid source roleid
4315  * @param int $troleid target roleid
4316  * @return int id or false