MDL-33791 Portfolio: Fixed security issue with passing file paths.
[moodle.git] / mod / forum / discuss.php
1 <?php
3 // This file is part of Moodle - http://moodle.org/
4 //
5 // Moodle is free software: you can redistribute it and/or modify
6 // it under the terms of the GNU General Public License as published by
7 // the Free Software Foundation, either version 3 of the License, or
8 // (at your option) any later version.
9 //
10 // Moodle is distributed in the hope that it will be useful,
11 // but WITHOUT ANY WARRANTY; without even the implied warranty of
12 // MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
13 // GNU General Public License for more details.
14 //
15 // You should have received a copy of the GNU General Public License
16 // along with Moodle.  If not, see <http://www.gnu.org/licenses/>.
18 /**
19  * Displays a post, and all the posts below it.
20  * If no post is given, displays all posts in a discussion
21  *
22  * @package mod-forum
23  * @copyright 1999 onwards Martin Dougiamas  {@link http://moodle.com}
24  * @license   http://www.gnu.org/copyleft/gpl.html GNU GPL v3 or later
25  */
27     require_once('../../config.php');
29     $d      = required_param('d', PARAM_INT);                // Discussion ID
30     $parent = optional_param('parent', 0, PARAM_INT);        // If set, then display this post and all children.
31     $mode   = optional_param('mode', 0, PARAM_INT);          // If set, changes the layout of the thread
32     $move   = optional_param('move', 0, PARAM_INT);          // If set, moves this discussion to another forum
33     $mark   = optional_param('mark', '', PARAM_ALPHA);       // Used for tracking read posts if user initiated.
34     $postid = optional_param('postid', 0, PARAM_INT);        // Used for tracking read posts if user initiated.
36     $url = new moodle_url('/mod/forum/discuss.php', array('d'=>$d));
37     if ($parent !== 0) {
38         $url->param('parent', $parent);
39     }
40     $PAGE->set_url($url);
42     $discussion = $DB->get_record('forum_discussions', array('id' => $d), '*', MUST_EXIST);
43     $course = $DB->get_record('course', array('id' => $discussion->course), '*', MUST_EXIST);
44     $forum = $DB->get_record('forum', array('id' => $discussion->forum), '*', MUST_EXIST);
45     $cm = get_coursemodule_from_instance('forum', $forum->id, $course->id, false, MUST_EXIST);
47     require_course_login($course, true, $cm);
49     // move this down fix for MDL-6926
50     require_once($CFG->dirroot.'/mod/forum/lib.php');
52     $modcontext = context_module::instance($cm->id);
53     require_capability('mod/forum:viewdiscussion', $modcontext, NULL, true, 'noviewdiscussionspermission', 'forum');
55     if (!empty($CFG->enablerssfeeds) && !empty($CFG->forum_enablerssfeeds) && $forum->rsstype && $forum->rssarticles) {
56         require_once("$CFG->libdir/rsslib.php");
58         $rsstitle = format_string($course->shortname, true, array('context' => context_course::instance($course->id))) . ': %fullname%';
59         rss_add_http_header($modcontext, 'mod_forum', $forum, $rsstitle);
60     }
62     if ($forum->type == 'news') {
63         if (!($USER->id == $discussion->userid || (($discussion->timestart == 0
64             || $discussion->timestart <= time())
65             && ($discussion->timeend == 0 || $discussion->timeend > time())))) {
66             print_error('invaliddiscussionid', 'forum', "$CFG->wwwroot/mod/forum/view.php?f=$forum->id");
67         }
68     }
70 /// move discussion if requested
71     if ($move > 0 and confirm_sesskey()) {
72         $return = $CFG->wwwroot.'/mod/forum/discuss.php?d='.$discussion->id;
74         require_capability('mod/forum:movediscussions', $modcontext);
76         if ($forum->type == 'single') {
77             print_error('cannotmovefromsingleforum', 'forum', $return);
78         }
80         if (!$forumto = $DB->get_record('forum', array('id' => $move))) {
81             print_error('cannotmovetonotexist', 'forum', $return);
82         }
84         if ($forumto->type == 'single') {
85             print_error('cannotmovetosingleforum', 'forum', $return);
86         }
88         if (!$cmto = get_coursemodule_from_instance('forum', $forumto->id, $course->id)) {
89             print_error('cannotmovetonotfound', 'forum', $return);
90         }
92         if (!coursemodule_visible_for_user($cmto)) {
93             print_error('cannotmovenotvisible', 'forum', $return);
94         }
96         require_capability('mod/forum:startdiscussion', context_module::instance($cmto->id));
98         if (!forum_move_attachments($discussion, $forum->id, $forumto->id)) {
99             echo $OUTPUT->notification("Errors occurred while moving attachment directories - check your file permissions");
100         }
101         $DB->set_field('forum_discussions', 'forum', $forumto->id, array('id' => $discussion->id));
102         $DB->set_field('forum_read', 'forumid', $forumto->id, array('discussionid' => $discussion->id));
103         add_to_log($course->id, 'forum', 'move discussion', "discuss.php?d=$discussion->id", $discussion->id, $cmto->id);
105         require_once($CFG->libdir.'/rsslib.php');
106         require_once($CFG->dirroot.'/mod/forum/rsslib.php');
108         // Delete the RSS files for the 2 forums to force regeneration of the feeds
109         forum_rss_delete_file($forum);
110         forum_rss_delete_file($forumto);
112         redirect($return.'&moved=-1&sesskey='.sesskey());
113     }
115     add_to_log($course->id, 'forum', 'view discussion', "discuss.php?d=$discussion->id", $discussion->id, $cm->id);
117     unset($SESSION->fromdiscussion);
119     if ($mode) {
120         set_user_preference('forum_displaymode', $mode);
121     }
123     $displaymode = get_user_preferences('forum_displaymode', $CFG->forum_displaymode);
125     if ($parent) {
126         // If flat AND parent, then force nested display this time
127         if ($displaymode == FORUM_MODE_FLATOLDEST or $displaymode == FORUM_MODE_FLATNEWEST) {
128             $displaymode = FORUM_MODE_NESTED;
129         }
130     } else {
131         $parent = $discussion->firstpost;
132     }
134     if (! $post = forum_get_post_full($parent)) {
135         print_error("notexists", 'forum', "$CFG->wwwroot/mod/forum/view.php?f=$forum->id");
136     }
139     if (!forum_user_can_view_post($post, $course, $cm, $forum, $discussion)) {
140         print_error('nopermissiontoview', 'forum', "$CFG->wwwroot/mod/forum/view.php?id=$forum->id");
141     }
143     if ($mark == 'read' or $mark == 'unread') {
144         if ($CFG->forum_usermarksread && forum_tp_can_track_forums($forum) && forum_tp_is_tracked($forum)) {
145             if ($mark == 'read') {
146                 forum_tp_add_read_record($USER->id, $postid);
147             } else {
148                 // unread
149                 forum_tp_delete_read_records($USER->id, $postid);
150             }
151         }
152     }
154     $searchform = forum_search_form($course);
156     $forumnode = $PAGE->navigation->find($cm->id, navigation_node::TYPE_ACTIVITY);
157     if (empty($forumnode)) {
158         $forumnode = $PAGE->navbar;
159     } else {
160         $forumnode->make_active();
161     }
162     $node = $forumnode->add(format_string($discussion->name), new moodle_url('/mod/forum/discuss.php', array('d'=>$discussion->id)));
163     $node->display = false;
164     if ($node && $post->id != $discussion->firstpost) {
165         $node->add(format_string($post->subject), $PAGE->url);
166     }
168     $PAGE->set_title("$course->shortname: ".format_string($discussion->name));
169     $PAGE->set_heading($course->fullname);
170     $PAGE->set_button($searchform);
171     echo $OUTPUT->header();
173 /// Check to see if groups are being used in this forum
174 /// If so, make sure the current person is allowed to see this discussion
175 /// Also, if we know they should be able to reply, then explicitly set $canreply for performance reasons
177     $canreply = forum_user_can_post($forum, $discussion, $USER, $cm, $course, $modcontext);
178     if (!$canreply and $forum->type !== 'news') {
179         if (isguestuser() or !isloggedin()) {
180             $canreply = true;
181         }
182         if (!is_enrolled($modcontext) and !is_viewing($modcontext)) {
183             // allow guests and not-logged-in to see the link - they are prompted to log in after clicking the link
184             // normal users with temporary guest access see this link too, they are asked to enrol instead
185             $canreply = enrol_selfenrol_available($course->id);
186         }
187     }
189 /// Print the controls across the top
190     echo '<div class="discussioncontrols clearfix">';
192     if (!empty($CFG->enableportfolios) && has_capability('mod/forum:exportdiscussion', $modcontext)) {
193         require_once($CFG->libdir.'/portfoliolib.php');
194         $button = new portfolio_add_button();
195         $button->set_callback_options('forum_portfolio_caller', array('discussionid' => $discussion->id), 'mod_forum');
196         $button = $button->to_html(PORTFOLIO_ADD_FULL_FORM, get_string('exportdiscussion', 'mod_forum'));
197         $buttonextraclass = '';
198         if (empty($button)) {
199             // no portfolio plugin available.
200             $button = '&nbsp;';
201             $buttonextraclass = ' noavailable';
202         }
203         echo html_writer::tag('div', $button, array('class' => 'discussioncontrol exporttoportfolio'.$buttonextraclass));
204     } else {
205         echo html_writer::tag('div', '&nbsp;', array('class'=>'discussioncontrol nullcontrol'));
206     }
208     // groups selector not needed here
209     echo '<div class="discussioncontrol displaymode">';
210     forum_print_mode_form($discussion->id, $displaymode);
211     echo "</div>";
213     if ($forum->type != 'single'
214                 && has_capability('mod/forum:movediscussions', $modcontext)) {
216         echo '<div class="discussioncontrol movediscussion">';
217         // Popup menu to move discussions to other forums. The discussion in a
218         // single discussion forum can't be moved.
219         $modinfo = get_fast_modinfo($course);
220         if (isset($modinfo->instances['forum'])) {
221             $forummenu = array();
222             // Check forum types and eliminate simple discussions.
223             $forumcheck = $DB->get_records('forum', array('course' => $course->id),'', 'id, type');
224             foreach ($modinfo->instances['forum'] as $forumcm) {
225                 if (!$forumcm->uservisible || !has_capability('mod/forum:startdiscussion',
226                     context_module::instance($forumcm->id))) {
227                     continue;
228                 }
229                 $section = $forumcm->sectionnum;
230                 $sectionname = get_section_name($course, $section);
231                 if (empty($forummenu[$section])) {
232                     $forummenu[$section] = array($sectionname => array());
233                 }
234                 $forumidcompare = $forumcm->instance != $forum->id;
235                 $forumtypecheck = $forumcheck[$forumcm->instance]->type !== 'single';
236                 if ($forumidcompare and $forumtypecheck) {
237                     $url = "/mod/forum/discuss.php?d=$discussion->id&move=$forumcm->instance&sesskey=".sesskey();
238                     $forummenu[$section][$sectionname][$url] = format_string($forumcm->name);
239                 }
240             }
241             if (!empty($forummenu)) {
242                 echo '<div class="movediscussionoption">';
243                 $select = new url_select($forummenu, '',
244                         array(''=>get_string("movethisdiscussionto", "forum")),
245                         'forummenu', get_string('move'));
246                 echo $OUTPUT->render($select);
247                 echo "</div>";
248             }
249         }
250         echo "</div>";
251     }
252     echo '<div class="clearfloat">&nbsp;</div>';
253     echo "</div>";
255     if (!empty($forum->blockafter) && !empty($forum->blockperiod)) {
256         $a = new stdClass();
257         $a->blockafter  = $forum->blockafter;
258         $a->blockperiod = get_string('secondstotime'.$forum->blockperiod);
259         echo $OUTPUT->notification(get_string('thisforumisthrottled','forum',$a));
260     }
262     if ($forum->type == 'qanda' && !has_capability('mod/forum:viewqandawithoutposting', $modcontext) &&
263                 !forum_user_has_posted($forum->id,$discussion->id,$USER->id)) {
264         echo $OUTPUT->notification(get_string('qandanotify','forum'));
265     }
267     if ($move == -1 and confirm_sesskey()) {
268         echo $OUTPUT->notification(get_string('discussionmoved', 'forum', format_string($forum->name,true)));
269     }
271     $canrate = has_capability('mod/forum:rate', $modcontext);
272     forum_print_discussion($course, $cm, $forum, $discussion, $post, $displaymode, $canreply, $canrate);
274     echo $OUTPUT->footer();