diff --git a/adminstuds.php b/adminstuds.php index f806f72..d63b673 100644 --- a/adminstuds.php +++ b/adminstuds.php @@ -52,7 +52,7 @@ $numsondageadmin = false; $sondage = false; // recuperation du numero de sondage admin (24 car.) dans l'URL -if (isset($_GET['sondage']) && !empty($_GET['sondage']) && is_string($_GET['sondage']) && strlen($_GET['sondage']) === 24) { +if (issetAndNoEmpty('sondage', $_GET) && is_string($_GET['sondage']) && strlen($_GET['sondage']) === 24) { $numsondageadmin=$_GET["sondage"]; //on découpe le résultat pour avoir le numéro de sondage (16 car.) $numsondage=substr($numsondageadmin, 0, 16); @@ -106,60 +106,73 @@ From: %s <%s> Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit EOF; -$headers = sprintf($headers_str, NOMAPPLICATION, ADRESSEMAILADMIN ); +$headers = sprintf($headers_str, NOMAPPLICATION, ADRESSEMAILADMIN); -if (isset($_POST["boutonnouveautitre"])) { - if(! isset($_POST["nouveautitre"]) || empty($_POST["nouveautitre"])) { +if (isset($_POST["boutonnouveautitre"]) || isset($_POST["boutonnouveautitre_x"])) { + if(issetAndNoEmpty('nouveautitre') === false) { $err |= TITLE_EMPTY; } else { - //envoi du mail pour prevenir l'admin de sondage - mail ($adresseadmin, - _("[ADMINISTRATOR] New title for your poll") . ' ' . NOMAPPLICATION, - _("You have changed the title of your poll. \nYou can modify this poll with this link") . - " :\n\n".getUrlSondage($numsondageadmin, true)."\n\n" . - _("Thanks for your confidence.") . "\n" . NOMAPPLICATION, - $headers); - //modification de la base SQL avec le nouveau titre - $connect->Execute("UPDATE sondage SET titre = '" . $connect->qstr(strip_tags($_POST['nouveautitre'])) . "' WHERE id_sondage = '" . $numsondage . "'"); + $nouveautitre = htmlentities(html_entity_decode($_POST['nouveautitre'], ENT_QUOTES, 'UTF-8'), ENT_QUOTES, 'UTF-8'); + $sql = 'UPDATE sondage SET titre = '.$connect->Param('nouveautitre').' WHERE id_sondage = '.$connect->Param('numsondage'); + $sql = $connect->Prepare($sql); + + //envoi du mail pour prevenir l'admin de sondage + if ($connect->Execute($sql, array($nouveautitre, $numsondage))) { + mail ($adresseadmin, + _("[ADMINISTRATOR] New title for your poll") . ' ' . NOMAPPLICATION, + _("You have changed the title of your poll. \nYou can modify this poll with this link") . + " :\n\n".getUrlSondage($numsondageadmin, true)."\n\n" . + _("Thanks for your confidence.") . "\n" . NOMAPPLICATION, + $headers); + } } } // si le bouton est activé, quelque soit la valeur du champ textarea -if (isset($_POST["boutonnouveauxcommentaires"])) { - if(! isset($_POST["nouveautitre"]) || empty($_POST["nouveautitre"])) { +if (isset($_POST["boutonnouveauxcommentaires"]) || isset($_POST["boutonnouveauxcommentaires_x"])) { + if(issetAndNoEmpty('nouveautitre') === false) { $err |= COMMENT_EMPTY; } else { - //envoi du mail pour prevenir l'admin de sondage - mail ($adresseadmin, - _("[ADMINISTRATOR] New comments for your poll") . ' ' . NOMAPPLICATION, - _("You have changed the comments of your poll. \nYou can modify this poll with this link") . - " :\n\n".getUrlSondage($numsondageadmin, true)." \n\n" . - _("Thanks for your confidence.") . "\n" . NOMAPPLICATION, - $headers); + $commentaires = htmlentities(html_entity_decode($_POST['nouveauxcommentaires'], ENT_QUOTES, 'UTF-8'), ENT_QUOTES, 'UTF-8'); //modification de la base SQL avec les nouveaux commentaires - $connect->Execute("UPDATE sondage SET commentaires = '" . $connect->qstr(strip_tags($nouveauxcommentaires)) . "' WHERE id_sondage = '" . $numsondage . "'"); + $sql = 'UPDATE sondage SET commentaires = '.$connect->Param('commentaires').' WHERE id_sondage = '.$connect->Param('numsondage'); + $sql = $connect->Prepare($sql); + + if ($connect->Execute($sql, array($commentaires, $numsondage))) { + //envoi du mail pour prevenir l'admin de sondage + mail ($adresseadmin, + _("[ADMINISTRATOR] New comments for your poll") . ' ' . NOMAPPLICATION, + _("You have changed the comments of your poll. \nYou can modify this poll with this link") . + " :\n\n".getUrlSondage($numsondageadmin, true)." \n\n" . + _("Thanks for your confidence.") . "\n" . NOMAPPLICATION, + $headers); + } } } //si la valeur de la nouvelle adresse est valide et que le bouton est activé -if (isset($_POST["boutonnouvelleadresse"])){ - if(! isset($_POST["nouvelleadresse"]) || empty($_POST["nouvelleadresse"]) || - ! filter_var($_POST["nouvelleadresse"], FILTER_VALIDATE_EMAIL) || strpos($_POST["nouvelleadresse"], '@') === false) { +if (isset($_POST["boutonnouvelleadresse"]) || isset($_POST["boutonnouvelleadresse_x"])) { + if(issetAndNoEmpty('nouvelleadresse') === false || validateEmail($_POST["nouvelleadresse"]) === false) { $err |= INVALID_EMAIL; } else { - //envoi du mail pour prevenir l'admin de sondage - mail ($_POST['nouvelleadresse'], - _("[ADMINISTRATOR] New email address for your poll") . ' ' . NOMAPPLICATION, - _("You have changed your email address in your poll. \nYou can modify this poll with this link") . - " :\n\n".getUrlSondage($numsondageadmin, true)."\n\n" . - _("Thanks for your confidence.") . "\n" . NOMAPPLICATION, - $headers); + $nouvelleadresse = htmlentities(html_entity_decode($_POST['nouvelleadresse'], ENT_QUOTES, 'UTF-8'), ENT_QUOTES, 'UTF-8'); //modification de la base SQL avec la nouvelle adresse - $connect->Execute("UPDATE sondage SET mail_admin = '" . $_POST['nouvelleadresse'] . "' WHERE id_sondage = '" . $numsondage . "'"); + $sql = 'UPDATE sondage SET mail_admin = '.$connect->Param('nouvelleadresse').' WHERE id_sondage = '.$connect->Param('numsondage'); + $sql = $connect->Prepare($sql); + + if ($connect->Execute($sql, array($nouvelleadresse, $numsondage))) { + //envoi du mail pour prevenir l'admin de sondage + mail ($_POST['nouvelleadresse'], + _("[ADMINISTRATOR] New email address for your poll") . ' ' . NOMAPPLICATION, + _("You have changed your email address in your poll. \nYou can modify this poll with this link") . + " :\n\n".getUrlSondage($numsondageadmin, true)."\n\n" . + _("Thanks for your confidence.") . "\n" . NOMAPPLICATION, + $headers); + } } } @@ -167,8 +180,7 @@ if (isset($_POST["boutonnouvelleadresse"])){ $dsujet=$sujets->FetchObject(false); $dsondage=$sondage->FetchObject(false); -if ($_POST["ajoutsujet_x"]){ - +if (isset($_POST["ajoutsujet"]) || isset($_POST["ajoutsujet_x"])) { print_header(true); echo '
'."\n"; logo(); @@ -197,22 +209,22 @@ if ($_POST["ajoutsujet_x"]){ echo ''."\n"; echo ''."\n"; echo '