MDL-33791 Portfolio: Fixed security issue with passing file paths.
[moodle.git] / mod / assignment / renderer.php
1 <?php
3 // This file is part of Moodle - http://moodle.org/
4 //
5 // Moodle is free software: you can redistribute it and/or modify
6 // it under the terms of the GNU General Public License as published by
7 // the Free Software Foundation, either version 3 of the License, or
8 // (at your option) any later version.
9 //
10 // Moodle is distributed in the hope that it will be useful,
11 // but WITHOUT ANY WARRANTY; without even the implied warranty of
12 // MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
13 // GNU General Public License for more details.
14 //
15 // You should have received a copy of the GNU General Public License
16 // along with Moodle.  If not, see <http://www.gnu.org/licenses/>.
18 /**
19  * A custom renderer class that extends the plugin_renderer_base and
20  * is used by the assignment module.
21  *
22  * @package mod-assignment
23  * @copyright 2010 Dongsheng Cai <dongsheng@moodle.com>
24  * @license   http://www.gnu.org/copyleft/gpl.html GNU GPL v3 or later
25  **/
26 class mod_assignment_renderer extends plugin_renderer_base {
27     /**
28      * @return string
29      */
30     public function assignment_files($context, $itemid, $filearea='submission') {
31         return $this->render(new assignment_files($context, $itemid, $filearea));
32     }
34     public function render_assignment_files(assignment_files $tree) {
35         $module = array('name'=>'mod_assignment_files', 'fullpath'=>'/mod/assignment/assignment.js', 'requires'=>array('yui2-treeview'));
36         $this->htmlid = 'assignment_files_tree_'.uniqid();
37         $this->page->requires->js_init_call('M.mod_assignment.init_tree', array(true, $this->htmlid));
38         $html = '<div id="'.$this->htmlid.'">';
39         $html .= $this->htmllize_tree($tree, $tree->dir);
40         $html .= '</div>';
42         if ($tree->portfolioform) {
43             $html .= $tree->portfolioform;
44         }
45         return $html;
46     }
48     /**
49      * Internal function - creates htmls structure suitable for YUI tree.
50      */
51     protected function htmllize_tree($tree, $dir) {
52         global $CFG;
53         $yuiconfig = array();
54         $yuiconfig['type'] = 'html';
56         if (empty($dir['subdirs']) and empty($dir['files'])) {
57             return '';
58         }
60         $result = '<ul>';
61         foreach ($dir['subdirs'] as $subdir) {
62             $image = $this->output->pix_icon(file_folder_icon(), $subdir['dirname'], 'moodle', array('class'=>'icon'));
63             $result .= '<li yuiConfig=\''.json_encode($yuiconfig).'\'><div>'.$image.' '.s($subdir['dirname']).'</div> '.$this->htmllize_tree($tree, $subdir).'</li>';
64         }
66         foreach ($dir['files'] as $file) {
67             $filename = $file->get_filename();
68             if ($CFG->enableplagiarism) {
69                 require_once($CFG->libdir.'/plagiarismlib.php');
70                 $plagiarsmlinks = plagiarism_get_links(array('userid'=>$file->get_userid(), 'file'=>$file, 'cmid'=>$tree->cm->id, 'course'=>$tree->course));
71             } else {
72                 $plagiarsmlinks = '';
73             }
74             $image = $this->output->pix_icon(file_file_icon($file), $filename, 'moodle', array('class'=>'icon'));
75             $result .= '<li yuiConfig=\''.json_encode($yuiconfig).'\'><div>'.$image.' '.$file->fileurl.' '.$plagiarsmlinks.$file->portfoliobutton.'</div></li>';
76         }
78         $result .= '</ul>';
80         return $result;
81     }
82 }
84 class assignment_files implements renderable {
85     public $context;
86     public $dir;
87     public $portfolioform;
88     public $cm;
89     public $course;
90     public function __construct($context, $itemid, $filearea='submission') {
91         global $USER, $CFG;
92         $this->context = $context;
93         list($context, $course, $cm) = get_context_info_array($context->id);
94         $this->cm = $cm;
95         $this->course = $course;
96         $fs = get_file_storage();
97         $this->dir = $fs->get_area_tree($this->context->id, 'mod_assignment', $filearea, $itemid);
98         if (!empty($CFG->enableportfolios)) {
99             require_once($CFG->libdir . '/portfoliolib.php');
100             $files = $fs->get_area_files($this->context->id, 'mod_assignment', $filearea, $itemid, "timemodified", false);
101             if (count($files) >= 1 && has_capability('mod/assignment:exportownsubmission', $this->context)) {
102                 $button = new portfolio_add_button();
103                 $button->set_callback_options('assignment_portfolio_caller', array('id' => $this->cm->id, 'submissionid' => $itemid), 'mod_assignment');
104                 $button->reset_formats();
105                 $this->portfolioform = $button->to_html(PORTFOLIO_ADD_TEXT_LINK);
106             }
107         }
108         $this->preprocess($this->dir, $filearea);
109     }
110     public function preprocess($dir, $filearea) {
111         global $CFG;
112         foreach ($dir['subdirs'] as $subdir) {
113             $this->preprocess($subdir, $filearea);
114         }
115         foreach ($dir['files'] as $file) {
116             $file->portfoliobutton = '';
117             if (!empty($CFG->enableportfolios)) {
118                 $button = new portfolio_add_button();
119                 if (has_capability('mod/assignment:exportownsubmission', $this->context)) {
120                     $button->set_callback_options('assignment_portfolio_caller', array('id' => $this->cm->id, 'fileid' => $file->get_id()), 'mod_assignment');
121                     $button->set_format_by_file($file);
122                     $file->portfoliobutton = $button->to_html(PORTFOLIO_ADD_ICON_LINK);
123                 }
124             }
125             $url = file_encode_url("$CFG->wwwroot/pluginfile.php", '/'.$this->context->id.'/mod_assignment/'.$filearea.'/'.$file->get_itemid(). $file->get_filepath().$file->get_filename(), true);
126             $filename = $file->get_filename();
127             $file->fileurl = html_writer::link($url, $filename);
128         }
129     }