300e89f935bc34cb3027922ea982e9c3db6cc3c4
3 /***************************************************************************\
4 * SPIP, Systeme de publication pour l'internet *
6 * Copyright (c) 2001-2016 *
7 * Arnaud Martin, Antoine Pitrou, Philippe Riviere, Emmanuel Saint-James *
9 * Ce programme est un logiciel libre distribue sous licence GNU/GPL. *
10 * Pour plus de details voir le fichier COPYING.txt ou l'aide en ligne. *
11 \***************************************************************************/
14 * Définit les autorisations du plugin Médias
16 * @package SPIP\Medias\Autorisations
19 if (!defined('_ECRIRE_INC_VERSION')) {
24 * Fonction d'appel pour le pipeline
28 function medias_autoriser() {
32 * Autorisation d'administrer la médiathèque
34 * @param string $faire Action demandée
35 * @param string $type Type d'objet sur lequel appliquer l'action
36 * @param int $id Identifiant de l'objet
37 * @param array $qui Description de l'auteur demandant l'autorisation
38 * @param array $opt Options de cette autorisation
39 * @return bool true s'il a le droit, false sinon
41 function autoriser_mediatheque_administrer_dist($faire, $type, $id, $qui, $opt) {
42 return $qui['statut'] == '0minirezo';
46 * Autorisation de voir le bouton Documents dans le menu
48 * @param string $faire Action demandée
49 * @param string $type Type d'objet sur lequel appliquer l'action
50 * @param int $id Identifiant de l'objet
51 * @param array $qui Description de l'auteur demandant l'autorisation
52 * @param array $opt Options de cette autorisation
53 * @return bool true s'il a le droit, false sinon
55 function autoriser_documents_menu_dist($faire, $type, $id, $qui, $opt) {
56 return autoriser('administrer', 'mediatheque', $id, $qui, $opt);
60 * Autoriser le changement des dimensions sur un document
62 * @param string $faire Action demandée
63 * @param string $type Type d'objet sur lequel appliquer l'action
64 * @param int $id Identifiant de l'objet
65 * @param array $qui Description de l'auteur demandant l'autorisation
66 * @param array $options Options de cette autorisation
67 * @return bool true s'il a le droit, false sinon
69 function autoriser_document_tailler_dist($faire, $type, $id, $qui, $options) {
71 if (!$id_document = intval($id)) {
74 if (!autoriser('modifier', 'document', $id, $qui, $options)) {
78 if (!isset($options['document']) or !$document = $options['document']) {
79 $document = sql_fetsel('*', 'spip_documents', 'id_document=' . intval($id_document));
82 // (on ne le propose pas pour les images qu'on sait
83 // lire : gif jpg png), sauf bug, ou document distant
84 if (in_array($document['extension'], array('gif', 'jpg', 'png'))
85 and $document['hauteur']
86 and $document['largeur']
87 and $document['distant'] != 'oui'
92 // Donnees sur le type de document
93 $extension = $document['extension'];
94 $type_inclus = sql_getfetsel('inclus', 'spip_types_documents', 'extension=' . sql_quote($extension));
96 if (($type_inclus == 'embed' or $type_inclus == 'image')
98 // documents dont la taille est definie
99 ($document['largeur'] * $document['hauteur'])
101 or $document['distant'] == 'oui'
102 // ou tous les formats qui s'affichent en embed
103 or $type_inclus == 'embed'
111 * Autorisation de joindre un document
113 * On ne peut joindre un document qu'a un objet qu'on a le droit d'editer
114 * mais il faut prevoir le cas d'une *creation* par un redacteur, qui correspond
115 * au hack id_objet = 0-id_auteur
117 * Il faut aussi que les documents aient ete actives sur les objets concernes
118 * ou que ce soit un article, sur lequel on peut toujours uploader des images
120 * @param string $faire Action demandée
121 * @param string $type Type d'objet sur lequel appliquer l'action
122 * @param int $id Identifiant de l'objet
123 * @param array $qui Description de l'auteur demandant l'autorisation
124 * @param array $opt Options de cette autorisation
125 * @return bool true s'il a le droit, false sinon
127 function autoriser_joindredocument_dist($faire, $type, $id, $qui, $opt) {
128 include_spip('inc/config');
130 // objet autorisé en upload ?
131 if ($type == 'article' or in_array(table_objet_sql($type), explode(',', lire_config('documents_objets', '')))) {
132 // sur un objet existant
134 return autoriser('modifier', $type, $id, $qui, $opt);
135 } // sur un nouvel objet
136 elseif ($id < 0 and (abs($id) == $qui['id_auteur'])) {
137 return autoriser('ecrire', $type, $id, $qui, $opt);
146 * Autorisation de modifier un document
148 * On ne peut modifier un document que s'il n'est pas lie a un objet qu'on n'a pas le droit d'editer
150 * @staticvar <type> $m
151 * @param string $faire Action demandée
152 * @param string $type Type d'objet sur lequel appliquer l'action
153 * @param int $id Identifiant de l'objet
154 * @param array $qui Description de l'auteur demandant l'autorisation
155 * @param array $opt Options de cette autorisation
156 * @return bool true s'il a le droit, false sinon
158 function autoriser_document_modifier_dist($faire, $type, $id, $qui, $opt) {
161 $q = $qui['id_auteur'];
162 if (isset($m[$q][$id])) {
166 $s = sql_getfetsel('statut', 'spip_documents', 'id_document=' . intval($id));
167 // les admins ont le droit de modifier tous les documents existants
168 if ($qui['statut'] == '0minirezo'
169 and !$qui['restreint']
171 return is_string($s) ?
true : false;
174 if (!isset($m[$q][$id])) {
175 // un document non publie peut etre modifie par tout le monde (... ?)
176 if ($s and $s !== 'publie' and ($qui['id_auteur'] > 0)) {
181 if (!isset($m[$q][$id])) {
184 $s = sql_select('id_objet,objet', 'spip_documents_liens', 'id_document=' . intval($id));
185 while ($t = sql_fetch($s)) {
186 if (!autoriser('modifier', $t['objet'], $t['id_objet'], $qui, $opt)) {
192 $m[$q][$id] = ($interdit ?
false : true);
200 * Autorisation de supprimer un document
202 * On ne peut supprimer un document que s'il n'est lie a aucun objet
203 * ET qu'on a le droit de le modifier !
205 * @param string $faire Action demandée
206 * @param string $type Type d'objet sur lequel appliquer l'action
207 * @param int $id Identifiant de l'objet
208 * @param array $qui Description de l'auteur demandant l'autorisation
209 * @param array $opt Options de cette autorisation
210 * @return bool true s'il a le droit, false sinon
212 function autoriser_document_supprimer_dist($faire, $type, $id, $qui, $opt) {
214 or !$qui['id_auteur']
215 or !autoriser('ecrire', '', '', $qui)
220 // ne pas considerer les document parent
221 // (cas des vignettes ou autre document annexe rattache a un document)
222 if (sql_countsel('spip_documents_liens', "objet!='document' AND id_document=" . intval($id))) {
226 // si c'est une vignette, se ramener a l'autorisation de son parent
227 if (sql_getfetsel('mode', 'spip_documents', 'id_document=' . intval($id)) == 'vignette') {
228 $id_document = sql_getfetsel('id_document', 'spip_documents', 'id_vignette=' . intval($id));
230 return !$id_document or autoriser('modifier', 'document', $id_document);
232 // si c'est un document annexe, se ramener a l'autorisation de son parent
233 if ($id_document = sql_getfetsel(
235 'spip_documents_liens',
236 "objet='document' AND id_document=" . intval($id)
238 return autoriser('modifier', 'document', $id_document);
241 return autoriser('modifier', 'document', $id, $qui, $opt);
246 * Autorisation de voir un document
248 * Peut-on voir un document dans _DIR_IMG ?
250 * Tout le monde (y compris les visiteurs non enregistrés), puisque par
251 * défaut ce repertoire n'est pas protégé ; si une extension comme
252 * acces_restreint a positionné creer_htaccess, on regarde
253 * si le document est lié à un élément publié.
256 * À revoir car c'est dommage de sortir de l'API true/false
258 * @param string $faire Action demandée
259 * @param string $type Type d'objet sur lequel appliquer l'action
260 * @param int $id Identifiant de l'objet
261 * @param array $qui Description de l'auteur demandant l'autorisation
262 * @param array $opt Options de cette autorisation
263 * @return bool true s'il a le droit, false sinon
265 function autoriser_document_voir_dist($faire, $type, $id, $qui, $opt) {
267 if (!isset($GLOBALS['meta']['creer_htaccess'])
268 or $GLOBALS['meta']['creer_htaccess'] != 'oui'
273 if ((!is_numeric($id)) or $id < 0) {
277 if (in_array($qui['statut'], array('0minirezo', '1comite'))) {
281 if ($liens = sql_allfetsel('objet,id_objet', 'spip_documents_liens', 'id_document=' . intval($id))) {
282 foreach ($liens as $l) {
283 $table_sql = table_objet_sql($l['objet']);
284 $id_table = id_table_objet($l['objet']);
287 "$id_table = " . intval($l['id_objet'])
288 . (in_array($l['objet'], array('article', 'rubrique', 'breve'))
289 ?
" AND statut = 'publie'"
302 * Autorisation d'auto-association de documents à du contenu editorial qui le référence
304 * Par defaut true pour tous les objets
306 * @param string $faire Action demandée
307 * @param string $type Type d'objet sur lequel appliquer l'action
308 * @param int $id Identifiant de l'objet
309 * @param array $qui Description de l'auteur demandant l'autorisation
310 * @param array $opt Options de cette autorisation
311 * @return bool true s'il a le droit, false sinon
313 function autoriser_autoassocierdocument_dist($faire, $type, $id, $qui, $opt) {
318 * Autoriser à nettoyer les orphelins de la base des documents
320 * Réservé aux admins complets.
322 * @param string $faire Action demandée
323 * @param string $type Type d'objet sur lequel appliquer l'action
324 * @param int $id Identifiant de l'objet
325 * @param array $qui Description de l'auteur demandant l'autorisation
326 * @param array $opt Options de cette autorisation
327 * @return bool true s'il a le droit, false sinon
329 function autoriser_orphelins_supprimer_dist($faire, $type, $id, $qui, $opt) {
330 if ($qui['statut'] == '0minirezo'
331 and !$qui['restreint']
339 * Autoriser a associer des documents a un objet :
340 * il faut avoir le droit de modifier cet objet
349 function autoriser_associerdocuments_dist($faire, $type, $id, $qui, $opt) {
350 // cas particulier (hack nouvel objet)
351 if (intval($id) < 0 and $id == -$qui['id_auteur']) {
355 return autoriser('modifier', $type, $id, $qui, $opt);
359 * Autoriser a dissocier des documents a un objet :
360 * il faut avoir le droit de modifier cet objet
369 function autoriser_dissocierdocuments_dist($faire, $type, $id, $qui, $opt) {
370 // cas particulier (hack nouvel objet)
371 if (intval($id) < 0 and $id == -$qui['id_auteur']) {
375 return autoriser('modifier', $type, $id, $qui, $opt);