511978a002030939f35e4145a11690ef27f43e39
2 /***************************************************************************\
3 * SPIP, Systeme de publication pour l'internet *
5 * Copyright (c) 2001-2014 *
6 * Arnaud Martin, Antoine Pitrou, Philippe Riviere, Emmanuel Saint-James *
8 * Ce programme est un logiciel libre distribue sous licence GNU/GPL. *
9 * Pour plus de details voir le fichier COPYING.txt ou l'aide en ligne. *
10 \***************************************************************************/
13 * Fonctions génériques pour les balises formulaires
15 * @package SPIP\Formulaires
17 if (!defined('_ECRIRE_INC_VERSION')) return;
19 include_spip('inc/filtres');
20 include_spip('inc/texte');
23 * Protéger les saisies d'un champ de formulaire
25 * Proteger les ' et les " dans les champs que l'on va injecter,
26 * sans toucher aux valeurs sérialisées
29 * @param string|array $texte
31 * @return string|array
34 function protege_champ($texte){
36 $texte = array_map('protege_champ',$texte);
38 // ne pas corrompre une valeur serialize
39 if ((preg_match(",^[abis]:\d+[:;],", $texte) AND unserialize($texte)!=false) OR is_null($texte))
43 AND strpbrk($texte, "&\"'<>")!==false
45 $texte = spip_htmlspecialchars($texte,ENT_QUOTES
);
52 * Teste si un formulaire demandé possède un squelette pour l'afficher
58 * - string : chemin du squelette
59 * - false : pas de squelette trouvé
61 function existe_formulaire($form)
63 if (substr($form,0,11)=="FORMULAIRE_")
64 $form = strtolower(substr($form,11));
66 $form = strtolower($form);
68 if (!$form) return ''; // on ne sait pas, le nom du formulaire n'est pas fourni ici
70 return trouver_fond($form, 'formulaires/') ?
$form : false;
75 * Balises Formulaires par défaut.
77 * Compilé en un appel à une balise dynamique.
80 * Description de la balise formulaire
82 * Description complétée du code compilé appelant la balise dynamique
84 function balise_FORMULAIRE__dist($p) {
86 // Cas d'un #FORMULAIRE_TOTO inexistant : renvoyer la chaine vide.
87 // mais si #FORMULAIRE_{toto} on ne peut pas savoir a la compilation, continuer
88 if (existe_formulaire($p->nom_champ
)===FALSE) {
90 $p->interdire_scripts
= false;
94 // sinon renvoyer un code php dynamique
95 return calculer_balise_dynamique($p, $p->nom_champ
, array());
99 * Balise dynamiques par défaut des formulaires
101 * @param string $form
103 * @return string|array
104 * - array : squelette à appeler, durée du cache, contexte
105 * - string : texte à afficher directement
107 function balise_FORMULAIRE__dyn($form)
109 $form = existe_formulaire($form);
110 if (!$form) return '';
112 // deux moyen d'arriver ici :
113 // soit #FORMULAIRE_XX reroute avec 'FORMULAIRE_XX' ajoute en premier arg
114 // soit #FORMULAIRE_{xx}
116 // recuperer les arguments passes a la balise
117 // on enleve le premier qui est le nom de la balise
118 // deja recupere ci-dessus
120 $args = func_get_args();
122 $contexte = balise_FORMULAIRE__contexte($form, $args);
123 if (!is_array($contexte)) return $contexte;
124 return array("formulaires/$form", 3600, $contexte);
128 * Calcule le contexte à envoyer dans le squelette d'un formulaire
130 * @param string $form
133 * Arguments envoyés à l'appel du formulaire
135 * Contexte d'environnement à envoyer au squelette
137 function balise_FORMULAIRE__contexte($form, $args)
139 // tester si ce formulaire vient d'etre poste (memes arguments)
140 // pour ne pas confondre 2 #FORMULAIRES_XX identiques sur une meme page
141 // si poste, on recupere les erreurs
143 $je_suis_poste = false;
144 if ($post_form = _request('formulaire_action')
145 AND $post_form==$form
146 AND $p = _request('formulaire_action_args')
147 AND is_array($p = decoder_contexte_ajax($p, $post_form))) {
148 // enlever le faux attribut de langue masque
150 if (formulaire__identifier($form, $args, $p))
151 $je_suis_poste = true;
155 $erreurs = $post = array();
156 if ($je_suis_poste) {
157 $post = traiter_formulaires_dynamiques(true);
158 $e = "erreurs_$form";
159 $erreurs = isset($post[$e]) ?
$post[$e] : array();
160 $editable = "editable_$form";
161 $editable = (!isset($post[$e]))
163 ||
(isset($post[$editable]) && $post[$editable]);
166 $valeurs = formulaire__charger($form, $args, $je_suis_poste);
168 // si $valeurs n'est pas un tableau, le formulaire n'est pas applicable
169 // C'est plus fort qu'editable qui est gere par le squelette
170 // Idealement $valeur doit etre alors un message explicatif.
171 if (!is_array($valeurs)) return is_string($valeurs) ?
$valeurs : '';
173 // charger peut passer une action si le formulaire ne tourne pas sur self()
174 // ou une action vide si elle ne sert pas
175 $action = (isset($valeurs['action'])) ?
$valeurs['action'] : self('&', true);
176 // bug IEx : si action finit par /
177 // IE croit que le <form ... action=../ > est autoferme
178 if (substr($action,-1)=='/') {
179 // on ajoute une ancre pour feinter IE, au pire ca tue l'ancre qui finit par un /
183 // recuperer la saisie en cours si erreurs
184 // seulement si c'est ce formulaire qui est poste
185 // ou si on le demande explicitement par le parametre _forcer_request = true
186 $dispo = ($je_suis_poste ||
(isset($valeurs['_forcer_request']) && $valeurs['_forcer_request']));
187 foreach(array_keys($valeurs) as $champ){
188 if ($champ[0]!=='_' AND !in_array($champ, array('message_ok','message_erreur','editable'))) {
189 if ($dispo AND (($v = _request($champ))!==NULL))
190 $valeurs[$champ] = $v;
191 // nettoyer l'url des champs qui vont etre saisis
193 $action = parametre_url($action,$champ,'');
194 // proteger les ' et les " dans les champs que l'on va injecter
195 $valeurs[$champ] = protege_champ($valeurs[$champ]);
201 $action = parametre_url($action,'formulaire_action','');
202 $action = parametre_url($action,'formulaire_action_args','');
205 if (isset($valeurs['_action'])){
206 $securiser_action = charger_fonction('securiser_action','inc');
207 $secu = $securiser_action(reset($valeurs['_action']),end($valeurs['_action']),'',-1);
208 $valeurs['_hidden'] = (isset($valeurs['_hidden'])?
$valeurs['_hidden']:'') .
209 "<input type='hidden' name='arg' value='".$secu['arg']."' />"
210 . "<input type='hidden' name='hash' value='".$secu['hash']."' />";
213 // empiler la lang en tant que premier argument implicite du CVT
214 // pour permettre de la restaurer au moment du Verifier et du Traiter
215 array_unshift($args, $GLOBALS['spip_lang']);
217 $valeurs['formulaire_args'] = encoder_contexte_ajax($args, $form);
218 $valeurs['erreurs'] = $erreurs;
219 $valeurs['action'] = $action;
220 $valeurs['form'] = $form;
222 if (!isset($valeurs['id'])) $valeurs['id'] = 'new';
223 // editable peut venir de charger() ou de traiter() sinon
224 if (!isset($valeurs['editable'])) $valeurs['editable'] = $editable;
225 // dans tous les cas, renvoyer un espace ou vide (et pas un booleen)
226 $valeurs['editable'] = ($valeurs['editable']?
' ':'');
228 if ($je_suis_poste) {
229 $valeurs['message_erreur'] = "";
230 if (isset($erreurs['message_erreur']))
231 $valeurs['message_erreur'] = $erreurs['message_erreur'];
233 $valeurs['message_ok'] = "";
234 if (isset($post["message_ok_$form"]))
235 $valeurs['message_ok'] = $post["message_ok_$form"];
236 elseif (isset($erreurs['message_ok']))
237 $valeurs['message_ok'] = $erreurs["message_ok"];
244 * Charger les valeurs de saisie du formulaire
246 * @param string $form
251 function formulaire__charger($form, $args, $poste)
253 if ($charger_valeurs = charger_fonction("charger","formulaires/$form",true))
254 $valeurs = call_user_func_array($charger_valeurs,$args);
255 else $valeurs = array();
258 'formulaire_charger',
260 'args'=>array('form'=>$form,'args'=>$args,'je_suis_poste'=>$poste),
264 // si $valeurs et false ou une chaine, pas de formulaire, donc pas de pipeline !
265 if (is_array($valeurs)){
266 if (!isset($valeurs['_pipelines'])) $valeurs['_pipelines']=array();
267 // l'ancien argument _pipeline devient maintenant _pipelines
268 // reinjectons le vieux _pipeline au debut de _pipelines
269 if (isset($valeurs['_pipeline'])) {
270 $pipe = is_array($valeurs['_pipeline'])?
reset($valeurs['_pipeline']):$valeurs['_pipeline'];
271 $args = is_array($valeurs['_pipeline'])?
end($valeurs['_pipeline']):array();
273 $pipelines = array($pipe=>$args);
274 $valeurs['_pipelines'] = array_merge($pipelines,$valeurs['_pipelines']);
277 // et enfin, ajoutons systematiquement un pipeline sur le squelette du formulaire
278 // qui constitue le cas le plus courant d'utilisation du pipeline recuperer_fond
279 // (performance, cela evite de s'injecter dans recuperer_fond utilise pour *tous* les squelettes)
280 $valeurs['_pipelines']['formulaire_fond'] = array('form'=>$form,'args'=>$args,'je_suis_poste'=>$poste);
287 * Vérifier que le formulaire en cours est celui qui est poste
289 * On se base sur la fonction identifier (si elle existe) qui fournit
290 * une signature identifiant le formulaire a partir de ses arguments
293 * En l'absence de fonction identifier, on se base sur l'egalite des
294 * arguments, ce qui fonctionne dans les cas simples
296 * @param string $form
301 function formulaire__identifier($form, $args, $p) {
302 if ($identifier_args = charger_fonction("identifier","formulaires/$form",true)) {
303 return call_user_func_array($identifier_args,$args)===call_user_func_array($identifier_args,$p);