2 /***************************************************************************\
3 * SPIP, Systeme de publication pour l'internet *
5 * Copyright (c) 2001-2019 *
6 * Arnaud Martin, Antoine Pitrou, Philippe Riviere, Emmanuel Saint-James *
8 * Ce programme est un logiciel libre distribue sous licence GNU/GPL. *
9 * Pour plus de details voir le fichier COPYING.txt ou l'aide en ligne. *
10 \***************************************************************************/
13 * Fonctions génériques pour les balises formulaires
15 * @package SPIP\Core\Formulaires
17 if (!defined('_ECRIRE_INC_VERSION')) {
21 include_spip('inc/filtres');
22 include_spip('inc/texte');
25 * Protéger les saisies d'un champ de formulaire
27 * Proteger les ' et les " dans les champs que l'on va injecter,
28 * sans toucher aux valeurs sérialisées
31 * @param string|array $texte
33 * @return string|array
36 function protege_champ($texte) {
37 if (is_array($texte)) {
38 $texte = array_map('protege_champ', $texte);
40 // ne pas corrompre une valeur serialize
41 if ((preg_match(",^[abis]:\d+[:;],", $texte) and @unserialize
($texte) != false) or is_null($texte)) {
46 and strpbrk($texte, "&\"'<>") !== false
48 $texte = spip_htmlspecialchars($texte, ENT_QUOTES
);
49 } elseif (is_bool($texte)) {
50 $texte = ($texte ?
'1' : '');
58 * Teste si un formulaire demandé possède un squelette pour l'afficher
64 * - string : chemin du squelette
65 * - false : pas de squelette trouvé
67 function existe_formulaire($form) {
68 if (substr($form, 0, 11) == "FORMULAIRE_") {
69 $form = strtolower(substr($form, 11));
71 $form = strtolower($form);
76 } // on ne sait pas, le nom du formulaire n'est pas fourni ici
78 return trouver_fond($form, 'formulaires/') ?
$form : false;
83 * Balises Formulaires par défaut.
85 * Compilé en un appel à une balise dynamique.
88 * Description de la balise formulaire
90 * Description complétée du code compilé appelant la balise dynamique
92 function balise_FORMULAIRE__dist($p) {
94 // Cas d'un #FORMULAIRE_TOTO inexistant : renvoyer la chaine vide.
95 // mais si #FORMULAIRE_{toto} on ne peut pas savoir a la compilation, continuer
96 if (existe_formulaire($p->nom_champ
) === false) {
98 $p->interdire_scripts
= false;
103 // sinon renvoyer un code php dynamique
104 return calculer_balise_dynamique($p, $p->nom_champ
, array());
108 * Balise dynamiques par défaut des formulaires
110 * @param string $form
112 * @return string|array
113 * - array : squelette à appeler, durée du cache, contexte
114 * - string : texte à afficher directement
116 function balise_FORMULAIRE__dyn($form) {
117 $form = existe_formulaire($form);
122 // deux moyen d'arriver ici :
123 // soit #FORMULAIRE_XX reroute avec 'FORMULAIRE_XX' ajoute en premier arg
124 // soit #FORMULAIRE_{xx}
126 // recuperer les arguments passes a la balise
127 // on enleve le premier qui est le nom de la balise
128 // deja recupere ci-dessus
130 $args = func_get_args();
132 $contexte = balise_FORMULAIRE__contexte($form, $args);
133 if (!is_array($contexte)) {
137 return array("formulaires/$form", 3600, $contexte);
141 * Calcule le contexte à envoyer dans le squelette d'un formulaire
143 * @param string $form
146 * Arguments envoyés à l'appel du formulaire
148 * Contexte d'environnement à envoyer au squelette
150 function balise_FORMULAIRE__contexte($form, $args) {
151 // tester si ce formulaire vient d'etre poste (memes arguments)
152 // pour ne pas confondre 2 #FORMULAIRES_XX identiques sur une meme page
153 // si poste, on recupere les erreurs
155 $je_suis_poste = false;
156 if ($post_form = _request('formulaire_action')
157 and $post_form == $form
158 and $p = _request('formulaire_action_args')
159 and is_array($p = decoder_contexte_ajax($p, $post_form))
161 // enlever le faux attribut de langue masque
163 if (formulaire__identifier($form, $args, $p)) {
164 $je_suis_poste = true;
169 $erreurs = $post = array();
170 if ($je_suis_poste) {
171 $post = traiter_formulaires_dynamiques(true);
172 $e = "erreurs_$form";
173 $erreurs = isset($post[$e]) ?
$post[$e] : array();
174 $editable = "editable_$form";
175 $editable = (!isset($post[$e]))
177 ||
(isset($post[$editable]) && $post[$editable]);
180 $valeurs = formulaire__charger($form, $args, $je_suis_poste);
182 // si $valeurs n'est pas un tableau, le formulaire n'est pas applicable
183 // C'est plus fort qu'editable qui est gere par le squelette
184 // Idealement $valeur doit etre alors un message explicatif.
185 if (!is_array($valeurs)) {
186 return is_string($valeurs) ?
$valeurs : '';
189 // charger peut passer une action si le formulaire ne tourne pas sur self()
190 // ou une action vide si elle ne sert pas
191 $action = (isset($valeurs['action'])) ?
$valeurs['action'] : self('&', true);
192 // bug IEx : si action finit par /
193 // IE croit que le <form ... action=../ > est autoferme
194 if (substr($action, -1) == '/') {
195 // on ajoute une ancre pour feinter IE, au pire ca tue l'ancre qui finit par un /
199 // recuperer la saisie en cours si erreurs
200 // seulement si c'est ce formulaire qui est poste
201 // ou si on le demande explicitement par le parametre _forcer_request = true
202 $dispo = ($je_suis_poste ||
(isset($valeurs['_forcer_request']) && $valeurs['_forcer_request']));
203 foreach (array_keys($valeurs) as $champ) {
204 if ($champ[0] !== '_' and !in_array($champ, array('message_ok', 'message_erreur', 'editable'))) {
205 if ($dispo and (($v = _request($champ)) !== null)) {
206 $valeurs[$champ] = $v;
208 // nettoyer l'url des champs qui vont etre saisis
210 $action = parametre_url($action, $champ, '');
212 // proteger les ' et les " dans les champs que l'on va injecter
213 $valeurs[$champ] = protege_champ($valeurs[$champ]);
219 $action = parametre_url($action, 'formulaire_action', '');
220 $action = parametre_url($action, 'formulaire_action_args', '');
223 if (isset($valeurs['_action'])) {
224 $securiser_action = charger_fonction('securiser_action', 'inc');
225 $secu = $securiser_action(reset($valeurs['_action']), end($valeurs['_action']), '', -1);
226 $valeurs['_hidden'] = (isset($valeurs['_hidden']) ?
$valeurs['_hidden'] : '') .
227 "<input type='hidden' name='arg' value='" . $secu['arg'] . "' />"
228 . "<input type='hidden' name='hash' value='" . $secu['hash'] . "' />";
231 // empiler la lang en tant que premier argument implicite du CVT
232 // pour permettre de la restaurer au moment du Verifier et du Traiter
233 array_unshift($args, $GLOBALS['spip_lang']);
235 $valeurs['formulaire_args'] = encoder_contexte_ajax($args, $form);
236 $valeurs['erreurs'] = $erreurs;
237 $valeurs['action'] = $action;
238 $valeurs['form'] = $form;
240 if (!isset($valeurs['id'])) {
241 $valeurs['id'] = 'new';
243 // editable peut venir de charger() ou de traiter() sinon
244 if (!isset($valeurs['editable'])) {
245 $valeurs['editable'] = $editable;
247 // dans tous les cas, renvoyer un espace ou vide (et pas un booleen)
248 $valeurs['editable'] = ($valeurs['editable'] ?
' ' : '');
250 if ($je_suis_poste) {
251 $valeurs['message_erreur'] = "";
252 if (isset($erreurs['message_erreur'])) {
253 $valeurs['message_erreur'] = $erreurs['message_erreur'];
256 $valeurs['message_ok'] = "";
257 if (isset($post["message_ok_$form"])) {
258 $valeurs['message_ok'] = $post["message_ok_$form"];
259 } elseif (isset($erreurs['message_ok'])) {
260 $valeurs['message_ok'] = $erreurs["message_ok"];
268 * Charger les valeurs de saisie du formulaire
270 * @param string $form
275 function formulaire__charger($form, $args, $poste) {
276 if ($charger_valeurs = charger_fonction("charger", "formulaires/$form", true)) {
277 $valeurs = call_user_func_array($charger_valeurs, $args);
283 'formulaire_charger',
285 'args' => array('form' => $form, 'args' => $args, 'je_suis_poste' => $poste),
290 // prise en charge CVT multi etape
291 if (is_array($valeurs) and isset($valeurs['_etapes'])) {
292 include_spip('inc/cvt_multietapes');
293 $valeurs = cvtmulti_formulaire_charger_etapes(
294 array('form' => $form, 'args' => $args, 'je_suis_poste' => $poste),
299 // si $valeurs et false ou une chaine, pas de formulaire, donc pas de pipeline !
300 if (is_array($valeurs)) {
301 if (!isset($valeurs['_pipelines'])) {
302 $valeurs['_pipelines'] = array();
304 // l'ancien argument _pipeline devient maintenant _pipelines
305 // reinjectons le vieux _pipeline au debut de _pipelines
306 if (isset($valeurs['_pipeline'])) {
307 $pipe = is_array($valeurs['_pipeline']) ?
reset($valeurs['_pipeline']) : $valeurs['_pipeline'];
308 $args = is_array($valeurs['_pipeline']) ?
end($valeurs['_pipeline']) : array();
310 $pipelines = array($pipe => $args);
311 $valeurs['_pipelines'] = array_merge($pipelines, $valeurs['_pipelines']);
314 // et enfin, ajoutons systematiquement un pipeline sur le squelette du formulaire
315 // qui constitue le cas le plus courant d'utilisation du pipeline recuperer_fond
316 // (performance, cela evite de s'injecter dans recuperer_fond utilise pour *tous* les squelettes)
317 $valeurs['_pipelines']['formulaire_fond'] = array('form' => $form, 'args' => $args, 'je_suis_poste' => $poste);
324 * Vérifier que le formulaire en cours est celui qui est poste
326 * On se base sur la fonction identifier (si elle existe) qui fournit
327 * une signature identifiant le formulaire a partir de ses arguments
330 * En l'absence de fonction identifier, on se base sur l'egalite des
331 * arguments, ce qui fonctionne dans les cas simples
333 * @param string $form
338 function formulaire__identifier($form, $args, $p) {
339 if ($identifier_args = charger_fonction("identifier", "formulaires/$form", true)) {
340 return call_user_func_array($identifier_args, $args) === call_user_func_array($identifier_args, $p);