X-Git-Url: http://git.polytechnique.org/?a=blobdiff_plain;f=modules%2Fxnetevents.php;h=91aa30221c093f53f1b2a9fdfc0a6905a9227470;hb=c7eac294d59c639f26b21920f7d1827d5854c82f;hp=136e5b40d59332a438583dc78eaf47692b223064;hpb=316b40d60daacd3aa3b480ccba0db6a3d97c093b;p=platal.git diff --git a/modules/xnetevents.php b/modules/xnetevents.php index 136e5b4..91aa302 100644 --- a/modules/xnetevents.php +++ b/modules/xnetevents.php @@ -58,6 +58,7 @@ class XnetEventsModule extends PLModule if (!may_update()) { return PL_FORBIDDEN; } + S::assert_xsrf_token(); $res = XDB::query("SELECT asso_id, short_name FROM groupex.evenements WHERE eid = {?} AND asso_id = {?}", @@ -178,13 +179,22 @@ class XnetEventsModule extends PLModule function handler_sub(&$page, $eid = null) { - require_once dirname(__FILE__).'/xnetevents/xnetevents.inc.php'; + $this->load('xnetevents.inc.php'); $page->changeTpl('xnetevents/subscribe.tpl'); $evt = get_event_detail($eid); - if (!$evt) { + if (is_null($evt)) { return PL_NOT_FOUND; } + if ($evt === false) { + global $globals, $platal; + $url = $globals->asso('sub_url'); + if (empty($url)) { + $url = $platal->ns . 'subscribe'; + } + $page->kill('Cet événement est reservé aux membres du groupe ' . $globals->asso('nom') . + '. Pour devenir membre, rends-toi sur la page de demande d\'inscripton.'); + } if (!$evt['inscr_open']) { $page->kill('Les inscriptions pour cet événement sont closes'); @@ -202,6 +212,8 @@ class XnetEventsModule extends PLModule if (!Post::has('submit')) { return; + } else { + S::assert_xsrf_token(); } $moments = Post::v('moment', array()); @@ -263,7 +275,7 @@ class XnetEventsModule extends PLModule function handler_csv(&$page, $eid = null, $item_id = null) { - require_once dirname(__FILE__).'/xnetevents/xnetevents.inc.php'; + $this->load('xnetevents.inc.php'); if (!is_numeric($item_id)) { $item_id = null; @@ -298,7 +310,7 @@ class XnetEventsModule extends PLModule { global $globals; - require_once dirname(__FILE__).'/xnetevents/xnetevents.inc.php'; + $this->load('xnetevents.inc.php'); $evt = get_event_detail($eid); if (!$evt) { return PL_FORBIDDEN; @@ -361,7 +373,9 @@ class XnetEventsModule extends PLModule $page->assign('moments', $moments); if (Post::v('intitule')) { - require_once dirname(__FILE__).'/xnetevents/xnetevents.inc.php'; + S::assert_xsrf_token(); + + $this->load('xnetevents.inc.php'); $short_name = event_change_shortname($page, $eid, $infos['short_name'], Env::v('short_name', '')); @@ -438,7 +452,7 @@ class XnetEventsModule extends PLModule // request for a new payment if (Post::v('paiement_id') == -1 && $money_defaut >= 0) { require_once 'validations.inc.php'; - $p = new PayReq(S::v('uid'), + $p = new PayReq(S::user(), Post::v('intitule')." - ".$globals->asso('nom'), Post::v('site'), $money_defaut, Post::v('confirmation'), 0, 999, @@ -512,7 +526,7 @@ class XnetEventsModule extends PLModule { global $globals; - require_once dirname(__FILE__).'/xnetevents/xnetevents.inc.php'; + $this->load('xnetevents.inc.php'); $evt = get_event_detail($eid, $item_id); if (!$evt) { @@ -525,6 +539,8 @@ class XnetEventsModule extends PLModule } if (may_update() && Post::v('adm')) { + S::assert_xsrf_token(); + $member = get_infos(Post::v('mail')); if (!$member) { $page->trigError("Membre introuvable");