X-Git-Url: http://git.polytechnique.org/?a=blobdiff_plain;ds=sidebyside;f=modules%2Fxnetevents.php;h=6ee5456e72d2ccd45244b200f7d9ee83d1b38357;hb=2925df1bd6cb08c1f29822019fcb82e59f63f8a3;hp=056ca5a9ed79677899f15fd18946f84cbfee2c60;hpb=2c385cd54dcef7d75e0b59b9212a209f086cb74a;p=platal.git

diff --git a/modules/xnetevents.php b/modules/xnetevents.php
index 056ca5a..6ee5456 100644
--- a/modules/xnetevents.php
+++ b/modules/xnetevents.php
@@ -58,6 +58,7 @@ class XnetEventsModule extends PLModule
             if (!may_update()) {
                 return PL_FORBIDDEN;
             }
+            S::assert_xsrf_token();
 
             $res = XDB::query("SELECT asso_id, short_name FROM groupex.evenements
                                 WHERE eid = {?} AND asso_id = {?}",
@@ -97,7 +98,7 @@ class XnetEventsModule extends PLModule
             XDB::execute("DELETE FROM requests
                                     WHERE type = 'paiements' AND data LIKE {?}",
                                    PayReq::same_event($eid, $globals->asso('id')));
-            update_NbValid();
+            $globals->updateNbValid();
         }
 
         if ($action == 'archive') {
@@ -202,6 +203,8 @@ class XnetEventsModule extends PLModule
 
         if (!Post::has('submit')) {
             return;
+        } else {
+            S::assert_xsrf_token();
         }
 
         $moments = Post::v('moment',    array());
@@ -216,7 +219,7 @@ class XnetEventsModule extends PLModule
                 if (!isset($pers[$j]) || !is_numeric($pers[$j])
                 ||  $pers[$j] < 0)
                 {
-                    $page->trig('Tu dois choisir un nombre d\'invités correct !');
+                    $page->trigError('Tu dois choisir un nombre d\'invités correct !');
                     return;
                 }
                 $subs[$j] = 1 + $pers[$j];
@@ -225,11 +228,11 @@ class XnetEventsModule extends PLModule
 
         // impossible to unsubscribe if you already paid sthing
         if (!array_sum($subs) && $evt['paid'] != 0) {
-            $page->trig("Impossible de te désinscrire complètement ".
-                        "parce que tu as fait un paiement par ".
-                        "chèque ou par liquide. Contacte un ".
-                        "administrateur du groupe si tu es sûr de ".
-                        "ne pas venir");
+            $page->trigError("Impossible de te désinscrire complètement ".
+                            "parce que tu as fait un paiement par ".
+                            "chèque ou par liquide. Contacte un ".
+                            "administrateur du groupe si tu es sûr de ".
+                            "ne pas venir");
             return;
         }
 
@@ -361,6 +364,8 @@ class XnetEventsModule extends PLModule
         $page->assign('moments', $moments);
 
         if (Post::v('intitule')) {
+            S::assert_xsrf_token();
+
             require_once dirname(__FILE__).'/xnetevents/xnetevents.inc.php';
             $short_name = event_change_shortname($page, $eid,
                                                  $infos['short_name'],
@@ -525,9 +530,11 @@ class XnetEventsModule extends PLModule
         }
 
         if (may_update() && Post::v('adm')) {
+            S::assert_xsrf_token();
+
             $member = get_infos(Post::v('mail'));
             if (!$member) {
-                $page->trig("Membre introuvable");
+                $page->trigError("Membre introuvable");
             }
 
             // change the price paid by a participant