Refactored custom field option config pages.
authorNik Okuntseff <support@anuko.com>
Sun, 2 Dec 2018 17:03:32 +0000 (17:03 +0000)
committerNik Okuntseff <support@anuko.com>
Sun, 2 Dec 2018 17:03:32 +0000 (17:03 +0000)
WEB-INF/templates/footer.tpl
cf_dropdown_option_add.php
cf_dropdown_option_delete.php
cf_dropdown_option_edit.php
plugins/CustomFields.class.php

index c391edf..fab5297 100644 (file)
@@ -12,7 +12,7 @@
       <br>
       <table cellspacing="0" cellpadding="4" width="100%" border="0">
         <tr>
-          <td align="center">&nbsp;Anuko Time Tracker 1.18.29.4570 | Copyright &copy; <a href="https://www.anuko.com/lp/tt_3.htm" target="_blank">Anuko</a> |
+          <td align="center">&nbsp;Anuko Time Tracker 1.18.29.4571 | Copyright &copy; <a href="https://www.anuko.com/lp/tt_3.htm" target="_blank">Anuko</a> |
             <a href="https://www.anuko.com/lp/tt_4.htm" target="_blank">{$i18n.footer.credits}</a> |
             <a href="https://www.anuko.com/lp/tt_5.htm" target="_blank">{$i18n.footer.license}</a> |
             <a href="https://www.anuko.com/lp/tt_7.htm" target="_blank">{$i18n.footer.improve}</a>
index 7b49424..de59818 100644 (file)
@@ -39,11 +39,13 @@ if (!$user->isPluginEnabled('cf')) {
   header('Location: feature_disabled.php');
   exit();
 }
-
-$cl_field_id = $request->getParameter('field_id');
+$cl_field_id = (int)$request->getParameter('field_id');
 $field = CustomFields::getField($cl_field_id);
-if (false === $field)
-  $err->add($i18n->get('error.db'));
+if (!$field) {
+  header('Location: access_denied.php');
+  exit();
+}
+// End of access checks.
 
 $form = new Form('optionAddForm');
 if ($err->no()) {
index 4cb2aca..999094e 100644 (file)
@@ -39,8 +39,14 @@ if (!$user->isPluginEnabled('cf')) {
   header('Location: feature_disabled.php');
   exit();
 }
-
 $cl_id = $request->getParameter('id');
+$option = CustomFields::getOptionName($cl_id);
+if (!$option) {
+  header('Location: access_denied.php');
+  exit();
+}
+// End of access checks.
+
 $form = new Form('optionDeleteForm');
 
 if ($request->isPost()) {
@@ -62,15 +68,9 @@ if ($request->isPost()) {
     exit();
   }
 } else {
-  $option = CustomFields::getOptionName($cl_id);
-  if (false === $option)
-    $err->add($i18n->get('error.db'));
-
-  if ($err->no()) {
-    $form->addInput(array('type'=>'hidden','name'=>'id','value'=>$cl_id));
-    $form->addInput(array('type'=>'submit','name'=>'btn_delete','value'=>$i18n->get('label.delete')));
-    $form->addInput(array('type'=>'submit','name'=>'btn_cancel','value'=>$i18n->get('button.cancel')));
-  }
+  $form->addInput(array('type'=>'hidden','name'=>'id','value'=>$cl_id));
+  $form->addInput(array('type'=>'submit','name'=>'btn_delete','value'=>$i18n->get('label.delete')));
+  $form->addInput(array('type'=>'submit','name'=>'btn_cancel','value'=>$i18n->get('button.cancel')));
 }
 
 $smarty->assign('option', $option);
index 5522acc..4f1103d 100644 (file)
@@ -39,11 +39,13 @@ if (!$user->isPluginEnabled('cf')) {
   header('Location: feature_disabled.php');
   exit();
 }
-
 $cl_id = $request->getParameter('id');
 $cl_name = CustomFields::getOptionName($cl_id);
-if (false === $cl_name)
-  $err->add($i18n->get('error.db'));
+if (!$cl_name) {
+  header('Location: access_denied.php');
+  exit();
+}
+// End of access checks.
 
 $form = new Form('optionEditForm');
 if ($err->no()) {
index a7945ab..d9762b5 100644 (file)
@@ -227,7 +227,7 @@ class CustomFields {
     $org_id = $user->org_id;
 
     $sql = "select value from tt_custom_field_options".
-      " where id = $id and group_id = $group_id and org_id = $org_id";
+      " where id = $id and group_id = $group_id and org_id = $org_id and status = 1";
     $res = $mdb2->query($sql);
     if (!is_a($res, 'PEAR_Error')) {
       $val = $res->fetchRow();