/** * Prépare le texte d'une requête avant son exécution * * Change les préfixes de tables SPIP par ceux véritables * * @param string $query Requête à préparer * @param string $db Nom de la base de donnée * @param string $prefixe Préfixe de tables à appliquer * @return string Requête préparée */ function _mysql_traite_query($query, $db = '', $prefixe = '') { if ($GLOBALS['mysql_rappel_nom_base'] and $db) { $pref = '`' . $db . '`.'; } else { $pref = ''; } if ($prefixe) { $pref .= $prefixe . "_"; } if (!preg_match('/\\s(SET|VALUES|WHERE|DATABASE)\\s/i', $query, $regs)) { $suite = ''; } else { $suite = strstr($query, $regs[0]); $query = substr($query, 0, -strlen($suite)); // propager le prefixe en cas de requete imbriquee // il faut alors echapper les chaine avant de le faire, pour ne pas risquer de // modifier une requete qui est en fait juste du texte dans un champ if (stripos($suite, "SELECT") !== false) { list($suite, $textes) = query_echappe_textes($suite); if (preg_match('/^(.*?)([(]\\s*SELECT\\b.*)$/si', $suite, $r)) { $suite = $r[1] . _mysql_traite_query($r[2], $db, $prefixe); } $suite = query_reinjecte_textes($suite, $textes); } } $r = preg_replace(_SQL_PREFIXE_TABLE_MYSQL, '\\1' . $pref, $query) . $suite; // en option, remplacer les emoji (que mysql ne sait pas gérer) en 💩 if (defined('_MYSQL_NOPLANES') and _MYSQL_NOPLANES and lire_meta('charset_sql_connexion') == 'utf8') { include_spip('inc/charsets'); $r = utf8_noplanes($r); } #spip_log("_mysql_traite_query: " . substr($r,0, 50) . ".... $db, $prefixe", _LOG_DEBUG); return $r; }
/** * Modifie le contenu d'un objet * * Fonction generique pour l'API de modification de contenu, qui se * charge entre autres choses d'appeler les pipelines pre_edition * et post_edition * * Attention, pour éviter des hacks on interdit des champs * (statut, id_secteur, id_rubrique, id_parent), * mais la securite doit étre assurée en amont * * @api * @param string $objet * Type d'objet * @param int $id_objet * Identifiant de l'objet * @param array $options * Toutes les options * @param array|null $c * Couples champ/valeur à modifier * @param string $serveur * Nom du connecteur à la base de données * @return bool|string * - false : Aucune modification, aucun champ n'est à modifier * - chaîne vide : Vide si tout s'est bien passé * - chaîne : Texte d'un message d'erreur */ function objet_modifier_champs($objet, $id_objet, $options, $c = null, $serveur = '') { if (!($id_objet = intval($id_objet))) { spip_log('Erreur $id_objet non defini', 'warn'); return _T('erreur_technique_enregistrement_impossible'); } include_spip('inc/filtres'); $table_objet = table_objet($objet, $serveur); $spip_table_objet = table_objet_sql($objet, $serveur); $id_table_objet = id_table_objet($objet, $serveur); $trouver_table = charger_fonction('trouver_table', 'base'); $desc = $trouver_table($spip_table_objet, $serveur); // Appels incomplets (sans $c) if (!is_array($c)) { spip_log('erreur appel objet_modifier_champs(' . $objet . '), manque $c'); return _T('erreur_technique_enregistrement_impossible'); } // Securite : certaines variables ne sont jamais acceptees ici // car elles ne relevent pas de autoriser(xxx, modifier) ; // il faut passer par instituer_XX() // TODO: faut-il passer ces variables interdites // dans un fichier de description separe ? unset($c['statut']); unset($c['id_parent']); unset($c['id_rubrique']); unset($c['id_secteur']); // Gerer les champs non vides if (isset($options['nonvide']) and is_array($options['nonvide'])) { foreach ($options['nonvide'] as $champ => $sinon) { if (isset($c[$champ]) and $c[$champ] === '') { $c[$champ] = $sinon; } } } // N'accepter que les champs qui existent // TODO: ici aussi on peut valider les contenus // en fonction du type $champs = array(); foreach ($desc['field'] as $champ => $ignore) { if (isset($c[$champ])) { $champs[$champ] = $c[$champ]; } } // Nettoyer les valeurs $champs = array_map('corriger_caracteres', $champs); // Envoyer aux plugins $champs = pipeline('pre_edition', array('args' => array('table' => $spip_table_objet, 'table_objet' => $table_objet, 'spip_table_objet' => $spip_table_objet, 'type' => $objet, 'id_objet' => $id_objet, 'champs' => isset($options['champs']) ? $options['champs'] : array(), 'serveur' => $serveur, 'action' => 'modifier'), 'data' => $champs)); if (!$champs) { return false; } // marquer le fait que l'objet est travaille par toto a telle date if ($GLOBALS['meta']['articles_modif'] != 'non') { include_spip('inc/drapeau_edition'); signale_edition($id_objet, $GLOBALS['visiteur_session'], $objet); } // Verifier si les mises a jour sont pertinentes, datees, en conflit etc include_spip('inc/editer'); $conflits = controler_md5($champs, $_POST, $objet, $id_objet, $serveur); // cas hypothetique : normalement inc/editer verifie en amont le conflit edition // et gere l'interface // ici on ne renvoie donc qu'un messsage d'erreur, au cas ou on y arrive quand meme if ($conflits) { return _T('titre_conflit_edition'); } if ($champs) { // cas particulier de la langue : passer par instituer_langue_objet if (isset($champs['lang'])) { if ($changer_lang = $champs['lang']) { $id_rubrique = 0; if ($desc['field']['id_rubrique']) { $parent = $objet == 'rubrique' ? 'id_parent' : 'id_rubrique'; $id_rubrique = sql_getfetsel($parent, $spip_table_objet, "{$id_table_objet}=" . intval($id_objet)); } $instituer_langue_objet = charger_fonction('instituer_langue_objet', 'action'); $champs['lang'] = $instituer_langue_objet($objet, $id_objet, $id_rubrique, $changer_lang); } // on laisse 'lang' dans $champs, // ca permet de passer dans le pipeline post_edition et de journaliser // et ca ne gene pas qu'on refasse un sql_updateq dessus apres l'avoir // deja pris en compte } // la modif peut avoir lieu // faut-il ajouter date_modif ? if (isset($options['date_modif']) and $options['date_modif'] and !isset($champs[$options['date_modif']])) { $champs[$options['date_modif']] = date('Y-m-d H:i:s'); } // allez on commit la modif sql_updateq($spip_table_objet, $champs, "{$id_table_objet}=" . intval($id_objet), $serveur); // on verifie si elle est bien passee $moof = sql_fetsel(array_keys($champs), $spip_table_objet, "{$id_table_objet}=" . intval($id_objet), array(), array(), '', array(), $serveur); // si difference entre les champs, reperer les champs mal enregistres if ($moof != $champs) { $liste = array(); foreach ($moof as $k => $v) { if ($v !== $champs[$k] and (!is_numeric($v) or intval($v) != intval($champs[$k]))) { $liste[] = $k; $conflits[$k]['post'] = $champs[$k]; $conflits[$k]['save'] = $v; // cas specifique MySQL+emoji : si l'un est la // conversion utf8_noplanes de l'autre alors c'est OK if (defined('_MYSQL_NOPLANES') && _MYSQL_NOPLANES) { include_spip('inc/charsets'); if ($v == utf8_noplanes($champs[$k])) { array_pop($liste); } } } } // si un champ n'a pas ete correctement enregistre, loger et retourner une erreur // c'est un cas exceptionnel if (count($liste)) { spip_log("Erreur enregistrement en base {$objet}/{$id_objet} champs :" . var_export($conflits, true), 'modifier.' . _LOG_CRITIQUE); return _T('erreur_technique_enregistrement_champs', array('champs' => "<i>'" . implode("'</i>,<i>'", $liste) . "'</i>")); } } // Invalider les caches if (isset($options['invalideur']) and $options['invalideur']) { include_spip('inc/invalideur'); if (is_array($options['invalideur'])) { array_map('suivre_invalideur', $options['invalideur']); } else { suivre_invalideur($options['invalideur']); } } // Notifications, gestion des revisions... // en standard, appelle |nouvelle_revision ci-dessous pipeline('post_edition', array('args' => array('table' => $spip_table_objet, 'table_objet' => $table_objet, 'spip_table_objet' => $spip_table_objet, 'type' => $objet, 'id_objet' => $id_objet, 'champs' => isset($options['champs']) ? $options['champs'] : array(), 'serveur' => $serveur, 'action' => 'modifier'), 'data' => $champs)); } // journaliser l'affaire // message a affiner :-) include_spip('inc/filtres_mini'); $qui = isset($GLOBALS['visiteur_session']['nom']) and $GLOBALS['visiteur_session']['nom'] ? $GLOBALS['visiteur_session']['nom'] : $GLOBALS['ip']; journal(_L($qui . ' a édité l’' . $objet . ' ' . $id_objet . ' (' . join('+', array_diff(array_keys($champs), array('date_modif'))) . ')'), array('faire' => 'modifier', 'quoi' => $objet, 'id' => $id_objet)); return ''; }