Form : bouton tout supprimer + faille CSRF

CHANGES.md

@@ -3,17 +3,22 @@
 ## Préversion 9.0.0
 - Modification :
     - Stockage distinct du thème et des autres données (core, config, page, module et users ) avec import des données d'une version 8
+    - gestion des thèmes :
         - Exporter un thème (avec les images) sous forme d'une archive ZIP à télécharger ou stocker dans  Fichiers.
         - Importer un thème à partir des fichiers
-    - Gabarits de pages : deux blocs (colonnes) à droite ou à gauche contenant des informations fixes, le paramétrage est dans le thème, mais les contenus sont stockés dans les pages.
+    - Option de position fixe du menu type Facebook        
+    - Gabarits de pages : deux barres latérales, une à droite ou à gauche contenant des informations fixes.
     - Changement du libellé Modérateur devient Editeur 
+    - Editeur :     
         - VisualBlocks dans TinyMCE
         - CodeMirror dans TinyMCE
-    - Case à cocher dans les formulaires
-    - Option de position fixe du menu type Facebook
     - Mini barre pour les membres simples
-    - Activation de la procédure d'update en ligne
     - Update : affichage de la version proposée dans la popup de mise à jour
+    - Module Formulaire :
+            - Case à cocher dans les formulaires
+            - Bouton d'export au format CSV
+            - Bouton effacer toutes les données
+            - Correction faille CSRF
 Correctif : 
     - contrôle CSRF de la configuration du compte connecté
     - Problème dans data/.htaccess

module/form/form.php

@@ -20,6 +20,7 @@ class form extends common {
 		'config' => self::GROUP_MODERATOR,
 		'data' => self::GROUP_MODERATOR,
 		'delete' => self::GROUP_MODERATOR,
+		'deleteall' => self::GROUP_MODERATOR,
 		'index' => self::GROUP_VISITOR,
 		'export2csv' => self::GROUP_MODERATOR,
 		'output2csv' => self::GROUP_MODERATOR
@@ -126,7 +127,7 @@ class form extends common {
 					$content,
 					template::button('formDataDelete' . $dataIds[$i], [
 						'class' => 'formDataDelete buttonRed',
-						'href' => helper::baseUrl() . $this->getUrl(0) . '/delete/' . $dataIds[$i],
+						'href' => helper::baseUrl() . $this->getUrl(0) . '/delete/' . $dataIds[$i]  . '/' . $_SESSION['csrf'],
 						'value' => template::ico('cancel')
 					])
 				];
@@ -145,6 +146,14 @@ class form extends common {
  	 * @copyright Copyright (C) 2018-2019, Frédéric Tempez
 	 */
 	public function export2csv() {
+		// Jeton incorrect
+		if ($this->getUrl(3) !== $_SESSION['csrf']) {
+			// Valeurs en sortie
+			$this->addOutput([
+				'redirect' => helper::baseUrl()  . $this->getUrl(0) . '/data',
+				'notification' => 'Action non autorisée'
+			]);
+		} else {
 			$data = $this->getData(['module', $this->getUrl(0), 'data']);
 			if ($data !== []) {
 				$csvfilename = 'data-'.date('dmY').'-'.date('hm').'-'.rand(10,99).'.csv';
@@ -170,6 +179,42 @@ class form extends common {
 				]);
 			}
 		}
+	}
+
+
+	/**
+	 * Suppression
+	 */
+	public function deleteall() {
+		// Jeton incorrect
+		if ($this->getUrl(3) !== $_SESSION['csrf']) {
+			// Valeurs en sortie
+			$this->addOutput([
+				'redirect' => helper::baseUrl()  . $this->getUrl(0) . '/data',
+				'notification' => 'Action non autorisée'
+			]);
+		} else {	
+			$data = ($this->getData(['module', $this->getUrl(0), 'data']));
+			if (count($data) > 0 ) {
+				// Suppression multiple
+				for ($i = 1; $i <= count($data) ; $i++) {
+					$this->deleteData(['module', $this->getUrl(0), 'data', $i]);
+				}
+				// Valeurs en sortie
+				$this->addOutput([
+					'redirect' => helper::baseUrl() . $this->getUrl(0) . '/data',
+					'notification' => 'Toutes les données ont été supprimées',
+					'state' => true
+				]);
+			} else {
+				// Valeurs en sortie
+				$this->addOutput([
+					'redirect' => helper::baseUrl() . $this->getUrl(0) . '/data',
+					'notification' => 'Aucune donnée à supprimer'
+				]);
+			}
+		}
+	}
 
 	
 	/**
@@ -183,6 +228,14 @@ class form extends common {
 				'access' => false
 			]);
 		}
+		// Jeton incorrect
+		elseif ($this->getUrl(3) !== $_SESSION['csrf']) {
+			// Valeurs en sortie
+			$this->addOutput([
+				'redirect' => helper::baseUrl()  . $this->getUrl(0) . '/data',
+				'notification' => 'Action non autorisée'
+			]);
+		}	
 		// Suppression
 		else {
 			$this->deleteData(['module', $this->getUrl(0), 'data', $this->getUrl(2)]);
@@ -195,6 +248,9 @@ class form extends common {
 		}
 	}
 
+
+
+
 	/**
 	 * Accueil
 	 */

module/form/view/data/data.js.php

@@ -19,3 +19,13 @@ $(".formDataDelete").on("click", function() {
 		$(location).attr("href", _this.attr("href"));
 	});
 });
+
+/**
+ * Confirmation de suppression de toutes les donénes
+ */
+$(".formDataDeleteAll").on("click", function() {
+	var _this = $(this);
+	return core.confirm("Êtes-vous sûr de vouloir supprimer toutes les données ?", function() {
+		$(location).attr("href", _this.attr("href"));
+	});
+});

module/form/view/data/data.php

@@ -7,10 +7,18 @@
 			'value' => 'Retour'
 		]); ?>
 	</div>
-	<div class="col2 offset8">
+	<div class="col2 offset6">
+	<?php echo template::button('formDataDeleteAll', [
+			'class' => 'formDataDeleteAll buttonRed',
+			'href' => helper::baseUrl() . $this->getUrl(0) . '/deleteall' . '/' . $_SESSION['csrf'],
+			'ico' => 'cancel',
+			'value' => 'Tout effacer'
+		]); ?>
+	</div>
+	<div class="col2">
 	<?php echo template::button('formDataBack', [
 			'class' => 'buttonBlue',
-			'href' => helper::baseUrl() . $this->getUrl(0) . '/export2csv',
+			'href' => helper::baseUrl() . $this->getUrl(0) . '/export2csv' . '/' . $_SESSION['csrf'],
 			'ico' => 'download',			
 			'value' => 'Export CSV'
 		]); ?>

site/tmp/.htaccess

@@ -1,2 +0,0 @@
-
-# fichier vide pour maintenir le répertoire sous Github