feat: spostata la verifica dei permessi di upload/eliminazione allegati su classe

Bacca1997 · Bacca1997 · commit 79cf2ba9e824 · 2025-11-25T10:54:26.000+01:00
diff --git a/actions.php b/actions.php
@@ -40,156 +40,125 @@
 
 // Upload allegati e rimozione
 if (filter('op') == 'aggiungi-allegato' || filter('op') == 'rimuovi-allegato') {
-    // Controllo sui permessi di scrittura per il modulo
-    $has_write_permission = false;
-
-    // Verifica permessi in base al tipo di accesso
-    if (Permissions::isTokenAccess()) {
-        // Per accesso tramite token, verifica i permessi del token
-        $token_info = $_SESSION['token_access'];
-        $token_permission = $token_info['permessi'] ?? 'r';
-
-        // Per gli allegati, verifica i permessi specifici del token
-        if (filter('op') == 'aggiungi-allegato') {
-            // Caricamento allegati: permessi 'ra', 'rwa' o 'rw'
-            $has_write_permission = in_array($token_permission, ['ra', 'rwa', 'rw']);
-        } elseif (filter('op') == 'rimuovi-allegato') {
-            // Rimozione allegati: solo permessi 'rwa' o 'rw'
-            $has_write_permission = in_array($token_permission, ['rwa', 'rw']);
-        }
-    } else {
-        // Per accesso normale, usa i permessi standard del modulo
-        $has_write_permission = (Modules::getPermission($id_module) == 'rw');
-    }
+    // UPLOAD PER CKEDITOR
+    if (filter('op') == 'aggiungi-allegato' && !empty($_FILES) && !empty($_FILES['upload']['name'])) {
+        $CKEditor = get('CKEditor');
+        $funcNum = get('CKEditorFuncNum');
 
-    if (!$has_write_permission) {
-        flash()->error(tr('Non hai permessi di scrittura per il modulo _MODULE_', [
-            '_MODULE_' => '"'.Module::find($id_module)->getTranslation('title').'"',
-        ]));
-    }
+        $allowed_extension = [
+            'png', 'jpg', 'jpeg',
+        ];
+
+        // Maximum file limit (unit: byte)
+        $max_size = '2097152'; // 2MB
 
-    // Gestione delle operazioni
-    else {
-        // UPLOAD PER CKEDITOR
-        if (filter('op') == 'aggiungi-allegato' && !empty($_FILES) && !empty($_FILES['upload']['name'])) {
-            $CKEditor = get('CKEditor');
-            $funcNum = get('CKEditorFuncNum');
+        // Get image file extension
+        $file_extension = pathinfo($_FILES['upload']['name'], PATHINFO_EXTENSION);
+
+        if (in_array(strtolower($file_extension), $allowed_extension) && $_FILES['upload']['size'] < $max_size) {
+            $upload = Uploads::upload($_FILES['upload'], [
+                'name' => filter('nome_allegato'),
+                'id_category' => filter('id_category') ?: null,
+                'id_module' => Module::where('name', 'Gestione documentale')->first()->id,
+                'id_record' => $id_record,
+            ]);
 
-            $allowed_extension = [
-                'png', 'jpg', 'jpeg',
-            ];
+            // Upload da form
+            if (!empty($funcNum)) {
+                echo '
+                <link rel="stylesheet" type="text/css" href="'.$baseurl.'/assets/dist/css/app.min.css" />
+                <script src="'.$baseurl.'/assets/dist/js/app.min.js"></script>';
+            }
 
-            // Maximum file limit (unit: byte)
-            $max_size = '2097152'; // 2MB
+            // Creazione file fisico
+            if (!empty($upload)) {
+                // flash()->info(tr('File caricato correttamente!'));
 
-            // Get image file extension
-            $file_extension = pathinfo($_FILES['upload']['name'], PATHINFO_EXTENSION);
+                $id_allegato = $dbo->lastInsertedID();
+                $upload = Upload::find($id_allegato);
 
-            if (in_array(strtolower($file_extension), $allowed_extension) && $_FILES['upload']['size'] < $max_size) {
-                $upload = Uploads::upload($_FILES['upload'], [
-                    'name' => filter('nome_allegato'),
-                    'id_category' => filter('id_category') ?: null,
-                    'id_module' => Module::where('name', 'Gestione documentale')->first()->id,
-                    'id_record' => $id_record,
-                ]);
+                $response = [
+                    'fileName' => base_path().'/files/gestione_documentale/'.basename($upload->filename),
+                    'uploaded' => 1,
+                    'url' => base_path().'/files/gestione_documentale/'.$upload->filename,
+                ];
 
                 // Upload da form
                 if (!empty($funcNum)) {
                     echo '
-                    <link rel="stylesheet" type="text/css" href="'.$baseurl.'/assets/dist/css/app.min.css" />
-                    <script src="'.$baseurl.'/assets/dist/js/app.min.js"></script>';
+                    <script type="text/javascript">
+                        $(document).ready(function() {
+                            window.parent.toastr.success("'.tr('Caricamento riuscito').'");
+                            window.parent.CKEDITOR.tools.callFunction('.$funcNum.', "'.$baseurl.'/files/gestione_documentale/'.$upload->filename.'");
+                        });
+                    </script>';
                 }
 
-                // Creazione file fisico
-                if (!empty($upload)) {
-                    // flash()->info(tr('File caricato correttamente!'));
-
-                    $id_allegato = $dbo->lastInsertedID();
-                    $upload = Upload::find($id_allegato);
-
-                    $response = [
-                        'fileName' => base_path().'/files/gestione_documentale/'.basename($upload->filename),
-                        'uploaded' => 1,
-                        'url' => base_path().'/files/gestione_documentale/'.$upload->filename,
-                    ];
-
-                    // Upload da form
-                    if (!empty($funcNum)) {
-                        echo '
-                        <script type="text/javascript">
-                            $(document).ready(function() {
-                                window.parent.toastr.success("'.tr('Caricamento riuscito').'");
-                                window.parent.CKEDITOR.tools.callFunction('.$funcNum.', "'.$baseurl.'/files/gestione_documentale/'.$upload->filename.'");
-                            });
-                        </script>';
-                    }
-
-                    // Copia-incolla
-                    else {
-                        echo json_encode($response);
-                    }
-                } else {
-                    // flash()->error(tr('Errore durante il caricamento del file!'));
-                    echo '<script type="text/javascript">  window.parent.toastr.error("'.tr('Errore durante il caricamento del file!').'"); </script>';
+                // Copia-incolla
+                else {
+                    echo json_encode($response);
                 }
             } else {
-                // flash()->error(tr('Estensione non permessa!'));
-                echo '<script type="text/javascript">  window.parent.toastr.error("'.tr('Estensione non permessa').'"); </script>';
-            }
-
-            exit;
-        }
-
-        // UPLOAD
-        if (filter('op') == 'aggiungi-allegato' && !empty($_FILES) && !empty($_FILES['file']['name'])) {
-            $upload = Uploads::upload($_FILES['file'], [
-                'name' => filter('nome_allegato'),
-                'id_category' => filter('id_category') ?: null,
-                'id_module' => $id_module,
-                'id_plugin' => $id_plugin,
-                'id_record' => $id_record,
-                'key' => filter('key') ?: null,
-            ]);
-
-            // Creazione file fisico
-            if (!empty($upload)) {
-                flash()->info(tr('File caricato correttamente!'));
-            } else {
-                flash()->error(tr('Errore durante il caricamento del file!'));
+                // flash()->error(tr('Errore durante il caricamento del file!'));
+                echo '<script type="text/javascript">  window.parent.toastr.error("'.tr('Errore durante il caricamento del file!').'"); </script>';
             }
+        } else {
+            // flash()->error(tr('Estensione non permessa!'));
+            echo '<script type="text/javascript">  window.parent.toastr.error("'.tr('Estensione non permessa').'"); </script>';
         }
 
-        // DELETE
-        elseif (filter('op') == 'rimuovi-allegato' && filter('filename') !== null) {
-            $name = Uploads::delete(filter('filename'), [
-                'id_module' => $id_module,
-                'id_plugin' => $id_plugin,
-                'id_record' => $id_record,
-                'key' => filter('key') ?: null,
-            ]);
+        exit;
+    }
 
-            if (!empty($name)) {
-                flash()->info(tr('File _FILE_ eliminato!', [
-                    '_FILE_' => '"'.$name.'"',
-                ]));
-            } else {
-                flash()->error(tr("Errore durante l'eliminazione del file!"));
-            }
+    // UPLOAD
+    if (filter('op') == 'aggiungi-allegato' && !empty($_FILES) && !empty($_FILES['file']['name'])) {
+        $upload = Uploads::upload($_FILES['file'], [
+            'name' => filter('nome_allegato'),
+            'id_category' => filter('id_category') ?: null,
+            'id_module' => $id_module,
+            'id_plugin' => $id_plugin,
+            'id_record' => $id_record,
+            'key' => filter('key') ?: null,
+        ]);
+
+        // Creazione file fisico
+        if (!empty($upload)) {
+            flash()->info(tr('File caricato correttamente!'));
+        } else {
+            flash()->error(tr('Errore durante il caricamento del file!'));
         }
+    }
 
-        // Determina il redirect appropriato in base al tipo di accesso
-        if (Permissions::isTokenAccess() && !empty($_SESSION['token_access']['id_module_target']) && !empty($_SESSION['token_access']['id_record_target'])) {
-            // Per accesso tramite token, redirect a shared_editor.php
-            redirect(base_path().'/shared_editor.php?id_module='.$id_module.'&id_record='.$id_record.((!empty($options['id_plugin'])) ? '#tab_'.$options['id_plugin'] : ''));
+    // DELETE
+    if (filter('op') == 'rimuovi-allegato' && filter('filename') !== null) {
+        $name = Uploads::delete(filter('filename'), [
+            'id_module' => $id_module,
+            'id_plugin' => $id_plugin,
+            'id_record' => $id_record,
+            'key' => filter('key') ?: null,
+        ]);
+
+        if (!empty($name)) {
+            flash()->info(tr('File _FILE_ eliminato!', [
+                '_FILE_' => '"'.$name.'"',
+            ]));
         } else {
-            // Per accesso normale, redirect a editor.php
-            redirect(base_path().'/editor.php?id_module='.$id_module.'&id_record='.$id_record.((!empty($options['id_plugin'])) ? '#tab_'.$options['id_plugin'] : ''));
+            flash()->error(tr("Errore durante l'eliminazione del file!"));
         }
     }
+
+    // Determina il redirect appropriato in base al tipo di accesso
+    if (Permissions::isTokenAccess() && !empty($_SESSION['token_access']['id_module_target']) && !empty($_SESSION['token_access']['id_record_target'])) {
+        // Per accesso tramite token, redirect a shared_editor.php
+        redirect(base_path().'/shared_editor.php?id_module='.$id_module.'&id_record='.$id_record.((!empty($options['id_plugin'])) ? '#tab_'.$options['id_plugin'] : ''));
+    } else {
+        // Per accesso normale, redirect a editor.php
+        redirect(base_path().'/editor.php?id_module='.$id_module.'&id_record='.$id_record.((!empty($options['id_plugin'])) ? '#tab_'.$options['id_plugin'] : ''));
+    }
 }
 
 // Download allegati
-elseif (filter('op') == 'download-allegato') {
+if (filter('op') == 'download-allegato') {
     $rs = $dbo->fetchArray('SELECT * FROM zz_files WHERE id_module='.prepare($id_module).' AND id='.prepare(filter('id')).' AND filename='.prepare(filter('filename')));
 
     // download($upload_dir.'/'.$rs[0]['filename'], $rs[0]['original']);
diff --git a/src/Models/Upload.php b/src/Models/Upload.php
@@ -84,6 +84,11 @@ public function setCategoryAttribute($value)
      */
     public static function build($source = null, $data = null, $name = null, $category = null)
     {
+        // Verifica permessi prima del caricamento
+        if (!self::checkUploadPermissions($data)) {
+            return false;
+        }
+
         $model = new static();
 
         // Informazioni di base
@@ -251,6 +256,18 @@ public function hasPreview()
 
     public function delete()
     {
+        // Verifica permessi prima dell'eliminazione
+        $data = [
+            'id_module' => $this->id_module,
+            'id_plugin' => $this->id_plugin,
+            'id_record' => $this->id_record,
+            'key' => $this->key,
+        ];
+
+        if (!self::checkDeletePermissions($data)) {
+            return false;
+        }
+
         $adapter_config = FileAdapter::find($this->id_adapter);
         $class = $adapter_config->class;
 
@@ -442,6 +459,112 @@ protected function deleteThumbnails($filesystem)
         }
     }
 
+    /**
+     * Verifica i permessi per il caricamento degli allegati.
+     *
+     * @param array $data Dati del file da caricare
+     * @return bool True se l'utente ha i permessi, false altrimenti
+     */
+    protected static function checkUploadPermissions($data)
+    {
+        // Se non ci sono dati del modulo, permetti il caricamento (per compatibilità)
+        if (empty($data['id_module']) && empty($data['id_plugin'])) {
+            return true;
+        }
+
+        $id_module = $data['id_module'] ?? null;
+        if (!empty($data['id_plugin'])) {
+            $plugin = \Models\Plugin::find($data['id_plugin']);
+            $id_module = $plugin ? $plugin->idmodule_to : null;
+        }
+
+        if (!$id_module) {
+            return true; // Se non riusciamo a determinare il modulo, permetti per compatibilità
+        }
+
+        // Verifica permessi in base al tipo di accesso
+        if (\Permissions::isTokenAccess()) {
+            // Per accesso tramite token, verifica i permessi del token
+            $token_info = $_SESSION['token_access'];
+            $token_permission = $token_info['permessi'] ?? 'r';
+
+            // Caricamento allegati: permessi 'ra', 'rwa' o 'rw'
+            $has_permission = in_array($token_permission, ['ra', 'rwa', 'rw']);
+
+            if (!$has_permission) {
+                flash()->error(tr('Non hai permessi di caricamento per il modulo _MODULE_', [
+                    '_MODULE_' => '"'.\Models\Module::find($id_module)->getTranslation('title').'"',
+                ]));
+            }
+
+            return $has_permission;
+        } else {
+            // Per accesso normale, usa i permessi standard del modulo
+            $has_permission = (\Modules::getPermission($id_module) == 'rw');
+
+            if (!$has_permission) {
+                flash()->error(tr('Non hai permessi di scrittura per il modulo _MODULE_', [
+                    '_MODULE_' => '"'.\Models\Module::find($id_module)->getTranslation('title').'"',
+                ]));
+            }
+
+            return $has_permission;
+        }
+    }
+
+    /**
+     * Verifica i permessi per l'eliminazione degli allegati.
+     *
+     * @param array $data Dati del file da eliminare
+     * @return bool True se l'utente ha i permessi, false altrimenti
+     */
+    protected static function checkDeletePermissions($data)
+    {
+        // Se non ci sono dati del modulo, permetti l'eliminazione (per compatibilità)
+        if (empty($data['id_module']) && empty($data['id_plugin'])) {
+            return true;
+        }
+
+        $id_module = $data['id_module'] ?? null;
+        if (!empty($data['id_plugin'])) {
+            $plugin = \Models\Plugin::find($data['id_plugin']);
+            $id_module = $plugin ? $plugin->idmodule_to : null;
+        }
+
+        if (!$id_module) {
+            return true; // Se non riusciamo a determinare il modulo, permetti per compatibilità
+        }
+
+        // Verifica permessi in base al tipo di accesso
+        if (\Permissions::isTokenAccess()) {
+            // Per accesso tramite token, verifica i permessi del token
+            $token_info = $_SESSION['token_access'];
+            $token_permission = $token_info['permessi'] ?? 'r';
+
+            // Rimozione allegati: solo permessi 'rwa' o 'rw'
+            $has_permission = in_array($token_permission, ['rwa', 'rw']);
+
+            if (!$has_permission) {
+                flash()->error(tr('Non hai permessi di eliminazione per il modulo _MODULE_', [
+                    '_MODULE_' => '"'.\Models\Module::find($id_module)->getTranslation('title').'"',
+                ]));
+            }
+
+            return $has_permission;
+        } else {
+            // Per accesso normale, usa i permessi standard del modulo
+            $has_permission = (\Modules::getPermission($id_module) == 'rw');
+
+            if (!$has_permission) {
+                flash()->error(tr('Non hai permessi di scrittura per il modulo _MODULE_', [
+                    '_MODULE_' => '"'.\Models\Module::find($id_module)->getTranslation('title').'"',
+                ]));
+            }
+
+            return $has_permission;
+        }
+    }
+
     /**
      * Genera le thumbnails per le immagini.
      */
