[SPIP] v3.2.11 -> v3.2.12
[lhc/web/www.git] / www / ecrire / balise / formulaire_.php
1 <?php
2 /***************************************************************************\
3 * SPIP, Systeme de publication pour l'internet *
4 * *
5 * Copyright (c) 2001-2019 *
6 * Arnaud Martin, Antoine Pitrou, Philippe Riviere, Emmanuel Saint-James *
7 * *
8 * Ce programme est un logiciel libre distribue sous licence GNU/GPL. *
9 * Pour plus de details voir le fichier COPYING.txt ou l'aide en ligne. *
10 \***************************************************************************/
11
12 /**
13 * Fonctions génériques pour les balises formulaires
14 *
15 * @package SPIP\Core\Formulaires
16 **/
17 if (!defined('_ECRIRE_INC_VERSION')) {
18 return;
19 }
20
21 include_spip('inc/filtres');
22 include_spip('inc/texte');
23
24 /**
25 * Protéger les saisies d'un champ de formulaire
26 *
27 * Proteger les ' et les " dans les champs que l'on va injecter,
28 * sans toucher aux valeurs sérialisées
29 *
30 * @see entites_html()
31 * @param string|array $texte
32 * Saisie à protéger
33 * @return string|array
34 * Saisie protégée
35 **/
36 function protege_champ($texte) {
37 if (is_array($texte)) {
38 $texte = array_map('protege_champ', $texte);
39 } else {
40 // ne pas corrompre une valeur serialize
41 if ((preg_match(",^[abis]:\d+[:;],", $texte) and @unserialize($texte) != false) or is_null($texte)) {
42 return $texte;
43 }
44 if (is_string($texte)
45 and $texte
46 and strpbrk($texte, "&\"'<>") !== false
47 ) {
48 $texte = spip_htmlspecialchars($texte, ENT_QUOTES);
49 } elseif (is_bool($texte)) {
50 $texte = ($texte ? '1' : '');
51 }
52 }
53
54 return $texte;
55 }
56
57 /**
58 * Teste si un formulaire demandé possède un squelette pour l'afficher
59 *
60 * @see trouver_fond()
61 * @param string $form
62 * Nom du formulaire
63 * @return string|bool
64 * - string : chemin du squelette
65 * - false : pas de squelette trouvé
66 **/
67 function existe_formulaire($form) {
68 if (substr($form, 0, 11) == "FORMULAIRE_") {
69 $form = strtolower(substr($form, 11));
70 } else {
71 $form = strtolower($form);
72 }
73
74 if (!$form) {
75 return '';
76 } // on ne sait pas, le nom du formulaire n'est pas fourni ici
77
78 return trouver_fond($form, 'formulaires/') ? $form : false;
79 }
80
81 /**
82 * Tester si un formulaire est appele via un modele type <formulaire|...> et le cas echeant retourne les arguments passes au modele
83 * false sinon
84 * @return false|array
85 */
86 function test_formulaire_inclus_par_modele() {
87 $trace = debug_backtrace(null, 20);
88 $trace_fonctions = array_column($trace, 'function');
89 $trace_fonctions = array_map('strtolower', $trace_fonctions);
90
91 // regarder si un flag a ete leve juste avant l'appel de balise_FORMULAIRE_dyn
92 if (function_exists('arguments_balise_dyn_depuis_modele')
93 and $form = arguments_balise_dyn_depuis_modele(null, 'read')) {
94 if (in_array('balise_formulaire__dyn', $trace_fonctions)) {
95 $k = array_search('balise_formulaire__dyn', $trace_fonctions);
96 if ($trace[$k]['args'][0] === $form) {
97 return $trace[$k]['args'];
98 }
99 }
100 }
101
102 // fallback qui ne repose pas sur le flag lie a l'analyse de contexte_compil,
103 // mais ne marche pas si executer_balise_dynamique est appelee via du php dans le squelette
104 if (in_array('eval', $trace_fonctions) and in_array('inclure_modele', $trace_fonctions)) {
105 $k = array_search('inclure_modele', $trace_fonctions);
106 // les arguments de recuperer_fond() passes par inclure_modele()
107 return $trace[$k-1]['args'][1]['args'];
108 }
109 return false;
110 }
111
112 /**
113 * Balises Formulaires par défaut.
114 *
115 * Compilé en un appel à une balise dynamique.
116 *
117 * @param Champ $p
118 * Description de la balise formulaire
119 * @return Champ
120 * Description complétée du code compilé appelant la balise dynamique
121 **/
122 function balise_FORMULAIRE__dist($p) {
123
124 // Cas d'un #FORMULAIRE_TOTO inexistant : renvoyer la chaine vide.
125 // mais si #FORMULAIRE_{toto} on ne peut pas savoir a la compilation, continuer
126 if (existe_formulaire($p->nom_champ) === false) {
127 $p->code = "''";
128 $p->interdire_scripts = false;
129
130 return $p;
131 }
132
133 // sinon renvoyer un code php dynamique
134 return calculer_balise_dynamique($p, $p->nom_champ, array());
135 }
136
137 /**
138 * Balise dynamiques par défaut des formulaires
139 *
140 * @param string $form
141 * Nom du formulaire
142 * @return string|array
143 * - array : squelette à appeler, durée du cache, contexte
144 * - string : texte à afficher directement
145 */
146 function balise_FORMULAIRE__dyn($form) {
147 $form = existe_formulaire($form);
148 if (!$form) {
149 return '';
150 }
151
152 // deux moyen d'arriver ici :
153 // soit #FORMULAIRE_XX reroute avec 'FORMULAIRE_XX' ajoute en premier arg
154 // soit #FORMULAIRE_{xx}
155
156 // recuperer les arguments passes a la balise
157 // on enleve le premier qui est le nom de la balise
158 // deja recupere ci-dessus
159
160 $args = func_get_args();
161 array_shift($args);
162 $contexte = balise_FORMULAIRE__contexte($form, $args);
163 if (!is_array($contexte)) {
164 return $contexte;
165 }
166
167 return array("formulaires/$form", 3600, $contexte);
168 }
169
170 /**
171 * Calcule le contexte à envoyer dans le squelette d'un formulaire
172 *
173 * @param string $form
174 * Nom du formulaire
175 * @param array $args
176 * Arguments envoyés à l'appel du formulaire
177 * @return array
178 * Contexte d'environnement à envoyer au squelette
179 **/
180 function balise_FORMULAIRE__contexte($form, $args) {
181 // tester si ce formulaire vient d'etre poste (memes arguments)
182 // pour ne pas confondre 2 #FORMULAIRES_XX identiques sur une meme page
183 // si poste, on recupere les erreurs
184
185 $je_suis_poste = false;
186 if ($post_form = _request('formulaire_action')
187 and $post_form == $form
188 and $p = _request('formulaire_action_args')
189 and is_array($p = decoder_contexte_ajax($p, $post_form))
190 ) {
191 // enlever le faux attribut de langue masque
192 array_shift($p);
193 if (formulaire__identifier($form, $args, $p)) {
194 $je_suis_poste = true;
195 }
196 }
197
198 $editable = true;
199 $erreurs = $post = array();
200 if ($je_suis_poste) {
201 $post = traiter_formulaires_dynamiques(true);
202 $e = "erreurs_$form";
203 $erreurs = isset($post[$e]) ? $post[$e] : array();
204 $editable = "editable_$form";
205 $editable = (!isset($post[$e]))
206 || count($erreurs)
207 || (isset($post[$editable]) && $post[$editable]);
208 }
209
210 $valeurs = formulaire__charger($form, $args, $je_suis_poste);
211
212 // si $valeurs n'est pas un tableau, le formulaire n'est pas applicable
213 // C'est plus fort qu'editable qui est gere par le squelette
214 // Idealement $valeur doit etre alors un message explicatif.
215 if (!is_array($valeurs)) {
216 return is_string($valeurs) ? $valeurs : '';
217 }
218
219 // charger peut passer une action si le formulaire ne tourne pas sur self()
220 // ou une action vide si elle ne sert pas
221 $action = (isset($valeurs['action'])) ? $valeurs['action'] : self('&amp;', true);
222 // bug IEx : si action finit par /
223 // IE croit que le <form ... action=../ > est autoferme
224 if (substr($action, -1) == '/') {
225 // on ajoute une ancre pour feinter IE, au pire ca tue l'ancre qui finit par un /
226 $action .= '#';
227 }
228
229 // recuperer la saisie en cours si erreurs
230 // seulement si c'est ce formulaire qui est poste
231 // ou si on le demande explicitement par le parametre _forcer_request = true
232 $dispo = ($je_suis_poste || (isset($valeurs['_forcer_request']) && $valeurs['_forcer_request']));
233 foreach (array_keys($valeurs) as $champ) {
234 if ($champ[0] !== '_' and !in_array($champ, array('message_ok', 'message_erreur', 'editable'))) {
235 if ($dispo and (($v = _request($champ)) !== null)) {
236 $valeurs[$champ] = $v;
237 }
238 // nettoyer l'url des champs qui vont etre saisis
239 if ($action) {
240 $action = parametre_url($action, $champ, '');
241 }
242 // proteger les ' et les " dans les champs que l'on va injecter
243 $valeurs[$champ] = protege_champ($valeurs[$champ]);
244 }
245 }
246
247 if ($action) {
248 // nettoyer l'url
249 $action = parametre_url($action, 'formulaire_action', '');
250 $action = parametre_url($action, 'formulaire_action_args', '');
251 }
252
253 /**
254 * sert (encore :() pour poster sur les actions de type editer_xxx() qui ne prenaient pas d'argument autrement que par _request('arg') et pour lesquelles il fallait donc passer un hash valide
255 */
256 if (isset($valeurs['_action'])) {
257 $securiser_action = charger_fonction('securiser_action', 'inc');
258 $secu = $securiser_action(reset($valeurs['_action']), end($valeurs['_action']), '', -1);
259 $valeurs['_hidden'] = (isset($valeurs['_hidden']) ? $valeurs['_hidden'] : '') .
260 "<input type='hidden' name='arg' value='" . $secu['arg'] . "' />"
261 . "<input type='hidden' name='hash' value='" . $secu['hash'] . "' />";
262 }
263
264 // empiler la lang en tant que premier argument implicite du CVT
265 // pour permettre de la restaurer au moment du Verifier et du Traiter
266 array_unshift($args, $GLOBALS['spip_lang']);
267
268 $valeurs['formulaire_args'] = encoder_contexte_ajax($args, $form);
269 $valeurs['erreurs'] = $erreurs;
270 $valeurs['action'] = $action;
271 $valeurs['form'] = $form;
272
273 $valeurs['formulaire_sign'] = '';
274 if (!empty($GLOBALS['visiteur_session']['id_auteur'])) {
275 $securiser_action = charger_fonction('securiser_action', 'inc');
276 $secu = $securiser_action($valeurs['form'], $valeurs['formulaire_args'], '', -1);
277 $valeurs['formulaire_sign'] = $secu['hash'];
278 }
279
280 if (!isset($valeurs['id'])) {
281 $valeurs['id'] = 'new';
282 }
283 // editable peut venir de charger() ou de traiter() sinon
284 if (!isset($valeurs['editable'])) {
285 $valeurs['editable'] = $editable;
286 }
287 // dans tous les cas, renvoyer un espace ou vide (et pas un booleen)
288 $valeurs['editable'] = ($valeurs['editable'] ? ' ' : '');
289
290 if ($je_suis_poste) {
291 $valeurs['message_erreur'] = "";
292 if (isset($erreurs['message_erreur'])) {
293 $valeurs['message_erreur'] = $erreurs['message_erreur'];
294 }
295
296 $valeurs['message_ok'] = "";
297 if (isset($post["message_ok_$form"])) {
298 $valeurs['message_ok'] = $post["message_ok_$form"];
299 } elseif (isset($erreurs['message_ok'])) {
300 $valeurs['message_ok'] = $erreurs["message_ok"];
301 }
302 }
303
304 return $valeurs;
305 }
306
307 /**
308 * Charger les valeurs de saisie du formulaire
309 *
310 * @param string $form
311 * @param array $args
312 * @param bool $poste
313 * @return array
314 */
315 function formulaire__charger($form, $args, $poste) {
316 if ($charger_valeurs = charger_fonction("charger", "formulaires/$form", true)) {
317 $valeurs = call_user_func_array($charger_valeurs, $args);
318 } else {
319 $valeurs = array();
320 }
321
322 $valeurs = pipeline(
323 'formulaire_charger',
324 array(
325 'args' => array('form' => $form, 'args' => $args, 'je_suis_poste' => $poste),
326 'data' => $valeurs
327 )
328 );
329
330 // prise en charge CVT multi etape
331 if (is_array($valeurs) and isset($valeurs['_etapes'])) {
332 include_spip('inc/cvt_multietapes');
333 $valeurs = cvtmulti_formulaire_charger_etapes(
334 array('form' => $form, 'args' => $args, 'je_suis_poste' => $poste),
335 $valeurs
336 );
337 }
338
339 // si $valeurs et false ou une chaine, pas de formulaire, donc pas de pipeline !
340 if (is_array($valeurs)) {
341 if (!isset($valeurs['_pipelines'])) {
342 $valeurs['_pipelines'] = array();
343 }
344 // l'ancien argument _pipeline devient maintenant _pipelines
345 // reinjectons le vieux _pipeline au debut de _pipelines
346 if (isset($valeurs['_pipeline'])) {
347 $pipe = is_array($valeurs['_pipeline']) ? reset($valeurs['_pipeline']) : $valeurs['_pipeline'];
348 $args = is_array($valeurs['_pipeline']) ? end($valeurs['_pipeline']) : array();
349
350 $pipelines = array($pipe => $args);
351 $valeurs['_pipelines'] = array_merge($pipelines, $valeurs['_pipelines']);
352 }
353
354 // et enfin, ajoutons systematiquement un pipeline sur le squelette du formulaire
355 // qui constitue le cas le plus courant d'utilisation du pipeline recuperer_fond
356 // (performance, cela evite de s'injecter dans recuperer_fond utilise pour *tous* les squelettes)
357 $valeurs['_pipelines']['formulaire_fond'] = array('form' => $form, 'args' => $args, 'je_suis_poste' => $poste);
358 }
359
360 return $valeurs;
361 }
362
363 /**
364 * Vérifier que le formulaire en cours est celui qui est poste
365 *
366 * On se base sur la fonction identifier (si elle existe) qui fournit
367 * une signature identifiant le formulaire a partir de ses arguments
368 * significatifs
369 *
370 * En l'absence de fonction identifier, on se base sur l'egalite des
371 * arguments, ce qui fonctionne dans les cas simples
372 *
373 * @param string $form
374 * @param array $args
375 * @param array $p
376 * @return bool
377 */
378 function formulaire__identifier($form, $args, $p) {
379 if ($identifier_args = charger_fonction("identifier", "formulaires/$form", true)) {
380 return call_user_func_array($identifier_args, $args) === call_user_func_array($identifier_args, $p);
381 }
382
383 return $args === $p;
384 }