MDL-37710 Assign: Fix pluginfile permission checks for student viewing their own...
[moodle.git] / mod / assign / submission / onlinetext / lib.php
1 <?PHP
2 // This file is part of Moodle - http://moodle.org/
3 //
4 // Moodle is free software: you can redistribute it and/or modify
5 // it under the terms of the GNU General Public License as published by
6 // the Free Software Foundation, either version 3 of the License, or
7 // (at your option) any later version.
8 //
9 // Moodle is distributed in the hope that it will be useful,
10 // but WITHOUT ANY WARRANTY; without even the implied warranty of
11 // MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
12 // GNU General Public License for more details.
13 //
14 // You should have received a copy of the GNU General Public License
15 // along with Moodle.  If not, see <http://www.gnu.org/licenses/>.
17 /**
18  * This file contains the moodle hooks for the submission onlinetext plugin
19  *
20  * @package   assignsubmission_onlinetext
21  * @copyright 2012 NetSpot {@link http://www.netspot.com.au}
22  * @license   http://www.gnu.org/copyleft/gpl.html GNU GPL v3 or later
23  */
24 defined('MOODLE_INTERNAL') || die();
26 /**
27  * Serves assignment submissions and other files.
28  *
29  * @param mixed $course course or id of the course
30  * @param mixed $cm course module or id of the course module
31  * @param context $context
32  * @param string $filearea
33  * @param array $args
34  * @param bool $forcedownload
35  * @return bool false if file not found, does not return if found - just send the file
36  */
37 function assignsubmission_onlinetext_pluginfile($course, $cm, context $context, $filearea, $args, $forcedownload) {
38     global $DB, $CFG;
40     if ($context->contextlevel != CONTEXT_MODULE) {
41         return false;
42     }
44     require_login($course, false, $cm);
45     $itemid = (int)array_shift($args);
46     $record = $DB->get_record('assign_submission',
47                               array('id'=>$itemid),
48                               'userid, assignment, groupid',
49                               MUST_EXIST);
50     $userid = $record->userid;
51     $groupid = $record->groupid;
53     require_once($CFG->dirroot . '/mod/assign/locallib.php');
55     $assign = new assign($context, $cm, $course);
57     if ($assign->get_instance()->id != $record->assignment) {
58         return false;
59     }
61     if ($assign->get_instance()->teamsubmission &&
62         !$assign->can_view_group_submission($groupid)) {
63         return false;
64     }
66     if (!$assign->get_instance()->teamsubmission &&
67         !$assign->can_view_submission($userid)) {
68         return false;
69     }
71     $relativepath = implode('/', $args);
73     $fullpath = "/{$context->id}/assignsubmission_onlinetext/$filearea/$itemid/$relativepath";
75     $fs = get_file_storage();
76     if (!($file = $fs->get_file_by_hash(sha1($fullpath))) || $file->is_directory()) {
77         return false;
78     }
80     // Download MUST be forced - security!
81     send_stored_file($file, 0, 0, true);
82 }