MDL-37710 Assign: Fix pluginfile permission checks for student viewing their own...
[moodle.git] / mod / assign / submission / file / lib.php
1 <?PHP
2 // This file is part of Moodle - http://moodle.org/
3 //
4 // Moodle is free software: you can redistribute it and/or modify
5 // it under the terms of the GNU General Public License as published by
6 // the Free Software Foundation, either version 3 of the License, or
7 // (at your option) any later version.
8 //
9 // Moodle is distributed in the hope that it will be useful,
10 // but WITHOUT ANY WARRANTY; without even the implied warranty of
11 // MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
12 // GNU General Public License for more details.
13 //
14 // You should have received a copy of the GNU General Public License
15 // along with Moodle.  If not, see <http://www.gnu.org/licenses/>.
17 /**
18  * This file contains the moodle hooks for the submission file plugin
19  *
20  * @package   assignsubmission_file
21  * @copyright 2012 NetSpot {@link http://www.netspot.com.au}
22  * @license   http://www.gnu.org/copyleft/gpl.html GNU GPL v3 or later
23  */
24 defined('MOODLE_INTERNAL') || die();
26 /**
27  * Serves assignment submissions and other files.
28  *
29  * @param mixed $course course or id of the course
30  * @param mixed $cm course module or id of the course module
31  * @param context $context
32  * @param string $filearea
33  * @param array $args
34  * @param bool $forcedownload
35  * @return bool false if file not found, does not return if found - just send the file
36  */
37 function assignsubmission_file_pluginfile($course,
38                                           $cm,
39                                           context $context,
40                                           $filearea,
41                                           $args,
42                                           $forcedownload) {
43     global $DB, $CFG;
45     if ($context->contextlevel != CONTEXT_MODULE) {
46         return false;
47     }
49     require_login($course, false, $cm);
50     $itemid = (int)array_shift($args);
51     $record = $DB->get_record('assign_submission',
52                               array('id'=>$itemid),
53                               'userid, assignment, groupid',
54                               MUST_EXIST);
55     $userid = $record->userid;
56     $groupid = $record->groupid;
58     require_once($CFG->dirroot . '/mod/assign/locallib.php');
60     $assign = new assign($context, $cm, $course);
62     if ($assign->get_instance()->id != $record->assignment) {
63         return false;
64     }
66     if ($assign->get_instance()->teamsubmission &&
67         !$assign->can_view_group_submission($groupid)) {
68         return false;
69     }
71     if (!$assign->get_instance()->teamsubmission &&
72         !$assign->can_view_submission($userid)) {
73         return false;
74     }
76     $relativepath = implode('/', $args);
78     $fullpath = "/{$context->id}/assignsubmission_file/$filearea/$itemid/$relativepath";
80     $fs = get_file_storage();
81     if (!($file = $fs->get_file_by_hash(sha1($fullpath))) || $file->is_directory()) {
82         return false;
83     }
85     // Download MUST be forced - security!
86     send_stored_file($file, 0, 0, true);
87 }