Better protection against editing and deleting approved records.
[timetracker.git] / time_edit.php
1 <?php
2 // +----------------------------------------------------------------------+
3 // | Anuko Time Tracker
4 // +----------------------------------------------------------------------+
5 // | Copyright (c) Anuko International Ltd. (https://www.anuko.com)
6 // +----------------------------------------------------------------------+
7 // | LIBERAL FREEWARE LICENSE: This source code document may be used
8 // | by anyone for any purpose, and freely redistributed alone or in
9 // | combination with other software, provided that the license is obeyed.
10 // |
11 // | There are only two ways to violate the license:
12 // |
13 // | 1. To redistribute this code in source form, with the copyright
14 // |    notice or license removed or altered. (Distributing in compiled
15 // |    forms without embedded copyright notices is permitted).
16 // |
17 // | 2. To redistribute modified versions of this code in *any* form
18 // |    that bears insufficient indications that the modifications are
19 // |    not the work of the original author(s).
20 // |
21 // | This license applies to this document only, not any other software
22 // | that it may be combined with.
23 // |
24 // +----------------------------------------------------------------------+
25 // | Contributors:
26 // | https://www.anuko.com/time_tracker/credits.htm
27 // +----------------------------------------------------------------------+
28
29 require_once('initialize.php');
30 import('form.Form');
31 import('ttUserHelper');
32 import('ttGroupHelper');
33 import('ttClientHelper');
34 import('ttTimeHelper');
35 import('DateAndTime');
36
37 // Access checks.
38 if (!(ttAccessAllowed('track_own_time') || ttAccessAllowed('track_time'))) {
39   header('Location: access_denied.php');
40   exit();
41 }
42 $cl_id = (int)$request->getParameter('id');
43 $time_rec = ttTimeHelper::getRecord($cl_id);
44 if (!$time_rec || $time_rec['approved'] || $time_rec['timesheet_id'] || $time_rec['invoice_id']) {
45   // Prohibit editing not ours, approved, assigned to timesheet, or invoiced records.
46   header('Location: access_denied.php');
47   exit();
48 }
49 // End of access checks.
50
51 $user_id = $user->getUser();
52
53 // Use custom fields plugin if it is enabled.
54 if ($user->isPluginEnabled('cf')) {
55   require_once('plugins/CustomFields.class.php');
56   $custom_fields = new CustomFields();
57   $smarty->assign('custom_fields', $custom_fields);
58 }
59
60 $item_date = new DateAndTime(DB_DATEFORMAT, $time_rec['date']);
61 $confirm_save = $user->getConfigOption('confirm_save');
62
63 // Initialize variables.
64 $cl_start = $cl_finish = $cl_duration = $cl_date = $cl_note = $cl_project = $cl_task = $cl_billable = null;
65 if ($request->isPost()) {
66   $cl_start = trim($request->getParameter('start'));
67   $cl_finish = trim($request->getParameter('finish'));
68   $cl_duration = trim($request->getParameter('duration'));
69   $cl_date = $request->getParameter('date');
70   $cl_note = trim($request->getParameter('note'));
71   $cl_cf_1 = trim($request->getParameter('cf_1'));
72   $cl_client = $request->getParameter('client');
73   $cl_project = $request->getParameter('project');
74   $cl_task = $request->getParameter('task');
75   $cl_billable = 1;
76   if ($user->isPluginEnabled('iv'))
77     $cl_billable = $request->getParameter('billable');
78   if ($user->isPluginEnabled('ps'))
79     $cl_paid = $request->getParameter('paid');
80 } else {
81   $cl_client = $time_rec['client_id'];
82   $cl_project = $time_rec['project_id'];
83   $cl_task = $time_rec['task_id'];
84   $cl_start = $time_rec['start'];
85   $cl_finish = $time_rec['finish'];
86   $cl_duration = $time_rec['duration'];
87   $cl_date = $item_date->toString($user->date_format);
88   $cl_note = $time_rec['comment'];
89
90   // If we have custom fields - obtain values for them.
91   if ($custom_fields) {
92     // Get custom field value for time record.
93     $fields = $custom_fields->get($time_rec['id']);
94     if ($custom_fields->fields[0]['type'] == CustomFields::TYPE_TEXT)
95       $cl_cf_1 = $fields[0]['value'];
96     elseif ($custom_fields->fields[0]['type'] == CustomFields::TYPE_DROPDOWN)
97       $cl_cf_1 = $fields[0]['option_id'];
98   }
99
100   $cl_billable = $time_rec['billable'];
101   $cl_paid = $time_rec['paid'];
102
103   // Add an info message to the form if we are editing an uncompleted record.
104   if (strlen($cl_start) > 0 && $cl_start == $cl_finish && $cl_duration == '0:00') {
105     $cl_finish = '';
106     $cl_duration = '';
107     $msg->add($i18n->get('form.time_edit.uncompleted'));
108   }
109 }
110
111 // Initialize elements of 'timeRecordForm'.
112 $form = new Form('timeRecordForm');
113
114 // Dropdown for clients in MODE_TIME. Use all active clients.
115 if (MODE_TIME == $user->tracking_mode && $user->isPluginEnabled('cl')) {
116   $active_clients = ttGroupHelper::getActiveClients(true);
117   $form->addInput(array('type'=>'combobox',
118     'onchange'=>'fillProjectDropdown(this.value);',
119     'name'=>'client',
120     'style'=>'width: 250px;',
121     'value'=>$cl_client,
122     'data'=>$active_clients,
123     'datakeys'=>array('id', 'name'),
124     'empty'=>array(''=>$i18n->get('dropdown.select'))));
125   // Note: in other modes the client list is filtered to relevant clients only. See below.
126 }
127
128 if (MODE_PROJECTS == $user->tracking_mode || MODE_PROJECTS_AND_TASKS == $user->tracking_mode) {
129   // Dropdown for projects assigned to user.
130   $project_list = $user->getAssignedProjects();
131   $form->addInput(array('type'=>'combobox',
132     'onchange'=>'fillTaskDropdown(this.value);',
133     'name'=>'project',
134     'style'=>'width: 250px;',
135     'value'=>$cl_project,
136     'data'=>$project_list,
137     'datakeys'=>array('id','name'),
138     'empty'=>array(''=>$i18n->get('dropdown.select'))));
139
140   // Dropdown for clients if the clients plugin is enabled.
141   if ($user->isPluginEnabled('cl')) {
142     $active_clients = ttGroupHelper::getActiveClients(true);
143     // We need an array of assigned project ids to do some trimming.
144     foreach($project_list as $project)
145       $projects_assigned_to_user[] = $project['id'];
146
147     // Build a client list out of active clients. Use only clients that are relevant to user.
148     // Also trim their associated project list to only assigned projects (to user).
149     foreach($active_clients as $client) {
150       $projects_assigned_to_client = explode(',', $client['projects']);
151       if (is_array($projects_assigned_to_client) && is_array($projects_assigned_to_user))
152         $intersection = array_intersect($projects_assigned_to_client, $projects_assigned_to_user);
153       if ($intersection) {
154         $client['projects'] = implode(',', $intersection);
155         $client_list[] = $client;
156       }
157     }
158     $form->addInput(array('type'=>'combobox',
159       'onchange'=>'fillProjectDropdown(this.value);',
160       'name'=>'client',
161       'style'=>'width: 250px;',
162       'value'=>$cl_client,
163       'data'=>$client_list,
164       'datakeys'=>array('id', 'name'),
165       'empty'=>array(''=>$i18n->get('dropdown.select'))));
166   }
167 }
168
169 if (MODE_PROJECTS_AND_TASKS == $user->tracking_mode) {
170   $task_list = ttGroupHelper::getActiveTasks();
171   $form->addInput(array('type'=>'combobox',
172     'name'=>'task',
173     'style'=>'width: 250px;',
174     'value'=>$cl_task,
175     'data'=>$task_list,
176     'datakeys'=>array('id','name'),
177     'empty'=>array(''=>$i18n->get('dropdown.select'))));
178 }
179
180 // Add other controls.
181 if ((TYPE_START_FINISH == $user->record_type) || (TYPE_ALL == $user->record_type)) {
182   $form->addInput(array('type'=>'text','name'=>'start','value'=>$cl_start,'onchange'=>"formDisable('start');"));
183   $form->addInput(array('type'=>'text','name'=>'finish','value'=>$cl_finish,'onchange'=>"formDisable('finish');"));
184   if ($user->punch_mode && !$user->canOverridePunchMode()) {
185     // Make the start and finish fields read-only.
186     $form->getElement('start')->setEnabled(false);
187     $form->getElement('finish')->setEnabled(false);
188   }
189 }
190 if ((TYPE_DURATION == $user->record_type) || (TYPE_ALL == $user->record_type))
191   $form->addInput(array('type'=>'text','name'=>'duration','value'=>$cl_duration,'onchange'=>"formDisable('duration');"));
192 $form->addInput(array('type'=>'datefield','name'=>'date','maxlength'=>'20','value'=>$cl_date));
193 $form->addInput(array('type'=>'textarea','name'=>'note','style'=>'width: 250px; height: 200px;','value'=>$cl_note));
194 // If we have custom fields - add controls for them.
195 if ($custom_fields && $custom_fields->fields[0]) {
196   // Only one custom field is supported at this time.
197   if ($custom_fields->fields[0]['type'] == CustomFields::TYPE_TEXT) {
198     $form->addInput(array('type'=>'text','name'=>'cf_1','value'=>$cl_cf_1));
199   } elseif ($custom_fields->fields[0]['type'] == CustomFields::TYPE_DROPDOWN) {
200     $form->addInput(array('type'=>'combobox',
201       'name'=>'cf_1',
202       'style'=>'width: 250px;',
203       'value'=>$cl_cf_1,
204       'data'=>$custom_fields->options,
205       'empty' => array('' => $i18n->get('dropdown.select'))));
206   }
207 }
208 // Hidden control for record id.
209 $form->addInput(array('type'=>'hidden','name'=>'id','value'=>$cl_id));
210 if ($user->isPluginEnabled('iv'))
211   $form->addInput(array('type'=>'checkbox','name'=>'billable','value'=>$cl_billable));
212 if ($user->can('manage_invoices') && $user->isPluginEnabled('ps'))
213   $form->addInput(array('type'=>'checkbox','name'=>'paid','value'=>$cl_paid));
214 $form->addInput(array('type'=>'hidden','name'=>'browser_today','value'=>'')); // User current date, which gets filled in on btn_save or btn_copy click.
215 $on_click_action = 'browser_today.value=get_date();';
216 $form->addInput(array('type'=>'submit','name'=>'btn_copy','onclick'=>$on_click_action,'value'=>$i18n->get('button.copy')));
217 if ($confirm_save) $on_click_action .= 'return(confirmSave());';
218 $form->addInput(array('type'=>'submit','name'=>'btn_save','onclick'=>$on_click_action,'value'=>$i18n->get('button.save')));
219 $form->addInput(array('type'=>'submit','name'=>'btn_delete','value'=>$i18n->get('label.delete')));
220
221 if ($request->isPost()) {
222
223   // Validate user input.
224   if ($user->isPluginEnabled('cl') && $user->isPluginEnabled('cm') && !$cl_client)
225     $err->add($i18n->get('error.client'));
226   if ($custom_fields) {
227     if (!ttValidString($cl_cf_1, !$custom_fields->fields[0]['required'])) $err->add($i18n->get('error.field'), $custom_fields->fields[0]['label']);
228   }
229   if (MODE_PROJECTS == $user->tracking_mode || MODE_PROJECTS_AND_TASKS == $user->tracking_mode) {
230     if (!$cl_project) $err->add($i18n->get('error.project'));
231   }
232   if (MODE_PROJECTS_AND_TASKS == $user->tracking_mode && $user->task_required) {
233     if (!$cl_task) $err->add($i18n->get('error.task'));
234   }
235   if (!$cl_duration) {
236     if ('0' == $cl_duration)
237       $err->add($i18n->get('error.field'), $i18n->get('label.duration'));
238     elseif ($cl_start || $cl_finish) {
239       if (!ttTimeHelper::isValidTime($cl_start))
240         $err->add($i18n->get('error.field'), $i18n->get('label.start'));
241       if ($cl_finish) {
242         if (!ttTimeHelper::isValidTime($cl_finish))
243           $err->add($i18n->get('error.field'), $i18n->get('label.finish'));
244         if (!ttTimeHelper::isValidInterval($cl_start, $cl_finish))
245           $err->add($i18n->get('error.interval'), $i18n->get('label.finish'), $i18n->get('label.start'));
246       }
247     } else {
248       if ((TYPE_START_FINISH == $user->record_type) || (TYPE_ALL == $user->record_type)) {
249         $err->add($i18n->get('error.empty'), $i18n->get('label.start'));
250         $err->add($i18n->get('error.empty'), $i18n->get('label.finish'));
251       }
252       if ((TYPE_DURATION == $user->record_type) || (TYPE_ALL == $user->record_type))
253         $err->add($i18n->get('error.empty'), $i18n->get('label.duration'));
254     }
255   } else {
256     if (false === ttTimeHelper::postedDurationToMinutes($cl_duration))
257       $err->add($i18n->get('error.field'), $i18n->get('label.duration'));
258   }
259   if (!ttValidDate($cl_date)) $err->add($i18n->get('error.field'), $i18n->get('label.date'));
260   if (!ttValidString($cl_note, true)) $err->add($i18n->get('error.field'), $i18n->get('label.note'));
261   if (!ttTimeHelper::canAdd()) $err->add($i18n->get('error.expired'));
262   // Finished validating user input.
263
264   // This is a new date for the time record.
265   $new_date = new DateAndTime($user->date_format, $cl_date);
266
267   // Prohibit creating entries in future.
268   if (!$user->future_entries) {
269     $browser_today = new DateAndTime(DB_DATEFORMAT, $request->getParameter('browser_today', null));
270     if ($new_date->after($browser_today))
271       $err->add($i18n->get('error.future_date'));
272   }
273
274   // Save record.
275   if ($request->getParameter('btn_save')) {
276     // We need to:
277     // 1) Prohibit saving locked time entries in any form.
278     // 2) Prohibit saving completed unlocked entries into locked interval.
279     // 3) Prohibit saving uncompleted unlocked entries when another uncompleted entry exists.
280
281     // Now, step by step.
282     if ($err->no()) {
283       // 1) Prohibit saving locked entries in any form.
284       if ($user->isDateLocked($item_date))
285         $err->add($i18n->get('error.range_locked'));
286
287       // 2) Prohibit saving completed unlocked entries into locked range.
288       if ($err->no() && $user->isDateLocked($new_date))
289         $err->add($i18n->get('error.range_locked'));
290
291       // 3) Prohibit saving uncompleted unlocked entries when another uncompleted entry exists.
292       $uncompleted = ($cl_finish == '' && $cl_duration == '');
293       if ($uncompleted) {
294         $not_completed_rec = ttTimeHelper::getUncompleted($user_id);
295         if ($not_completed_rec && ($time_rec['id'] <> $not_completed_rec['id'])) {
296           // We have another not completed record.
297           $err->add($i18n->get('error.uncompleted_exists')." <a href = 'time_edit.php?id=".$not_completed_rec['id']."'>".$i18n->get('error.goto_uncompleted')."</a>");
298         }
299       }
300     }
301
302     // Prohibit creating an overlapping record.
303     if ($err->no()) {
304       if (ttTimeHelper::overlaps($user_id, $new_date->toString(DB_DATEFORMAT), $cl_start, $cl_finish, $cl_id))
305         $err->add($i18n->get('error.overlap'));
306     }
307
308     // Now, an update.
309     if ($err->no()) {
310       $res = ttTimeHelper::update(array(
311         'id'=>$cl_id,
312         'date'=>$new_date->toString(DB_DATEFORMAT),
313         'user_id'=>$user_id,
314         'client'=>$cl_client,
315         'project'=>$cl_project,
316         'task'=>$cl_task,
317         'start'=>$cl_start,
318         'finish'=>$cl_finish,
319         'duration'=>$cl_duration,
320         'note'=>$cl_note,
321         'billable'=>$cl_billable,
322         'paid'=>$cl_paid));
323
324       // If we have custom fields - update values.
325       if ($res && $custom_fields) {
326         if ($custom_fields->fields[0]['type'] == CustomFields::TYPE_TEXT)
327           $res = $custom_fields->update($cl_id, $custom_fields->fields[0]['id'], null, $cl_cf_1);
328         elseif ($custom_fields->fields[0]['type'] == CustomFields::TYPE_DROPDOWN)
329           $res = $custom_fields->update($cl_id, $custom_fields->fields[0]['id'], $cl_cf_1, null);
330       }
331       if ($res)
332       {
333         header('Location: time.php?date='.$new_date->toString(DB_DATEFORMAT));
334         exit();
335       }
336     }
337   }
338
339   // Save as new record.
340   if ($request->getParameter('btn_copy')) {
341     // We need to:
342     // 1) Prohibit saving into locked range.
343     // 2) Prohibit saving uncompleted unlocked entries when another uncompleted entry exists.
344
345     // Now, step by step.
346     if ($err->no()) {
347       // 1) Prohibit saving into locked range.
348       if ($user->isDateLocked($new_date))
349         $err->add($i18n->get('error.range_locked'));
350
351       // 2) Prohibit saving uncompleted unlocked entries when another uncompleted entry exists.
352       $uncompleted = ($cl_finish == '' && $cl_duration == '');
353       if ($uncompleted) {
354         $not_completed_rec = ttTimeHelper::getUncompleted($user_id);
355         if ($not_completed_rec) {
356           // We have another not completed record.
357           $err->add($i18n->get('error.uncompleted_exists')." <a href = 'time_edit.php?id=".$not_completed_rec['id']."'>".$i18n->get('error.goto_uncompleted')."</a>");
358         }
359       }
360     }
361
362     // Prohibit creating an overlapping record.
363     if ($err->no()) {
364       if (ttTimeHelper::overlaps($user_id, $new_date->toString(DB_DATEFORMAT), $cl_start, $cl_finish))
365         $err->add($i18n->get('error.overlap'));
366     }
367
368     // Now, a new insert.
369     if ($err->no()) {
370
371       $id = ttTimeHelper::insert(array(
372         'date'=>$new_date->toString(DB_DATEFORMAT),
373         'user_id'=>$user_id,
374         'group_id'=>$user->getGroup(),
375         'org_id' => $user->org_id,
376         'client'=>$cl_client,
377         'project'=>$cl_project,
378         'task'=>$cl_task,
379         'start'=>$cl_start,
380         'finish'=>$cl_finish,
381         'duration'=>$cl_duration,
382         'note'=>$cl_note,
383         'billable'=>$cl_billable,
384         'paid'=>$cl_paid));
385
386       // Insert a custom field if we have it.
387       $res = true;
388       if ($id && $custom_fields && $cl_cf_1) {
389         if ($custom_fields->fields[0]['type'] == CustomFields::TYPE_TEXT)
390           $res = $custom_fields->insert($id, $custom_fields->fields[0]['id'], null, $cl_cf_1);
391         elseif ($custom_fields->fields[0]['type'] == CustomFields::TYPE_DROPDOWN)
392           $res = $custom_fields->insert($id, $custom_fields->fields[0]['id'], $cl_cf_1, null);
393       }
394       if ($id && $res) {
395         header('Location: time.php?date='.$new_date->toString(DB_DATEFORMAT));
396         exit();
397       }
398       $err->add($i18n->get('error.db'));
399     }
400   }
401
402   if ($request->getParameter('btn_delete')) {
403     header("Location: time_delete.php?id=$cl_id");
404     exit();
405   }
406 } // isPost
407
408 if ($confirm_save) {
409   $smarty->assign('confirm_save', true);
410   $smarty->assign('entry_date', $cl_date);
411 }
412 $smarty->assign('client_list', $client_list);
413 $smarty->assign('project_list', $project_list);
414 $smarty->assign('task_list', $task_list);
415 $smarty->assign('forms', array($form->getName()=>$form->toArray()));
416 $smarty->assign('onload', 'onLoad="fillDropdowns()"');
417 $smarty->assign('title', $i18n->get('title.edit_time_record'));
418 $smarty->assign('content_page_name', 'time_edit.tpl');
419 $smarty->display('index.tpl');