<?php

if (!defined('IN_TRAFSTAT')) {
	die("Hacking attempt!");
}

/*
 * Пользователь с идентификатором 'ROOT_USER_ID' является системным пользователем.
 * Нельзя его удалять и изменять группу в которую он входит.
 */
$avlAcl = array('edit', 'del', 'new', 'update');

$errorFlags = false;
$errorTitle = "Обнаружены следующие ошибки ввода:";
$errorMsg = array();

$succesFlags = false;
$succesMsg = null;

/* определим действие которое необходимо выполнить */
if (isset($_GET['acl'])) {
	$acl = in_array($_GET['acl'], $avlAcl) ? $_GET['acl'] : null;
} else {
	$acl = null;
}

/* получим список доступных групп */
$groupList = array();

$query = "select id, name from groups order by id";
$result = mysql_query($query) or
	message_die('Query failed "' .
	make_line(__FILE__, __LINE__) . '": ' . mysql_error());
while ($line = mysql_fetch_assoc($result)) {
	$key = $line['id'];
	$groupList[$key] = $line['name'];
}
mysql_free_result($result);

/*
 * Проверяет переданные данные для создания нового пользователя.
 * Если редактируются данные пользователя с идентификаторм 'ROOT_USER_ID'
 * то поля 'name' и 'groupid' не определены. Т.к. они заблокированы
 * для изменения в HTML форме редактирования пользователя.
 */
function checkNewUser($id = false)
{
	global $errorFlags, $errorMsg;
	$ret = true;

	if (isset($_POST['name']) && $id != ROOT_USER_ID) {
		if (strlen($_POST['name'])) {
			/* проверим что выбранное имя не существует */
			$name = mysql_real_escape_string($_POST['name']);
			$query = "select id from users where name = '$name'";
			if ($id) {
				$id = mysql_real_escape_string($id);
				$query .= " && id != '$id'";
			}

			$result = mysql_query($query) or
				message_die('Query failed "' .
				make_line(__FILE__, __LINE__) . '": ' . mysql_error());
			$find = mysql_num_rows($result);
			mysql_free_result($result);

			if ($find) {
				$errorFlags = true;
				$errorMsg[] = "Пользователь с именем '$name' уже существует.";
				$ret = false;
			}
		} else {
			$errorFlags = true;
			$errorMsg[] = 'Поле "Имя пользователя" должно быть заполненым.';
			$ret = false;
		}
	} else {
		if ($id != ROOT_USER_ID) {
			$errorFlags = true;
			$errorMsg[] = 'Не определено поле "Имя пользователя".';
			$ret = false;
		}
	}

	if (($_POST['acl'] === 'new') ||
			(($_POST['acl'] === 'edit') && ($_POST['id'] != SESS_ID))) {
		if (isset($_POST['passwd1']) && isset($_POST['passwd2'])) {
			if (!strlen($_POST['passwd1']) || !strlen($_POST['passwd2'])) {
				$errorFlags = true;
				$errorMsg[] = 'Поля новых паролей должны быть заполнены.';
				$ret = false;
			}
			if ($_POST['passwd1'] !== $_POST['passwd2']) {
				$errorFlags = true;
				$errorMsg[] = 'Новые пароли не совпадают.';
				$ret = false;
			}
		} else {
			$errorFlags = true;
			$errorMsg[] = 'Не определены поля новых паролей.';
			$ret = false;
		}
	}

	if (isset($_POST['groupid']) && $id != ROOT_USER_ID) {
		if (strlen($_POST['groupid'])) {
			if (preg_match('/^[1-9]+[0-9]*$/', $_POST['groupid'])) {
				/* проверим что выбранная группа существует */
				$groupid = mysql_real_escape_string($_POST['groupid']);
				$query = "select id from groups where id = '$groupid'";

				$result = mysql_query($query) or
					message_die('Query failed "' .
					make_line(__FILE__, __LINE__) . '": ' . mysql_error());
				$find = mysql_num_rows($result);
				mysql_free_result($result);

				if (!$find) {
					$errorFlags = true;
					$errorMsg = "Группа с идентификаторм '$groupid' не существует.";
					$ret = false;
				}
			} else {
				$errorFlags = true;
				$errorMsg[] = "Идентификатор группы '${_POST['groupid']}' содержит не верное значение.";
				$ret = false;
			}
		} else {
			$errorFlags = true;
			$errorMsg[] = 'Должна быть выбранна группа в которую будет входить пользователь.';
			$ret = false;
		}
	} else {
		if ($id != ROOT_USER_ID) {
			$errorFlags = true;
			$errorMsg[] = 'Не определена группа в которую будет входить пользователь.';
			$ret = false;
		}
	}

	if (isset($_POST['fname'])) {
		if (!strlen($_POST['fname'])) {
			$errorFlags = true;
			$errorMsg[] = 'Поле "Полное имя" должно быть заполнено.';
			$ret = false;
		}
	} else {
		$errorFlags = true;
		$errorMsg[] = 'Не определено поле "Полное имя".';
		$ret = false;
	}

	if (isset($_POST['email'])) {
		if (!strlen($_POST['email'])) {
			$errorFlags = true;
			$errorMsg[] = 'Поле "Адрес электронной почты" должно быть заполнено.';
			$ret = false;
		}
	} else {
		$errorFlags = true;
		$errorMsg[] = 'Не определено поле "Адрес электронной почты".';
		$ret = false;
	}

	return $ret;
}

/* проверяет переданные данные для редактирования пользователя */
function checkEditUser()
{
	global $errorFlags, $errorMsg;
	$ret = true;
	$id = false;

	if (isset($_POST['id'])) {
		if (strlen($_POST['id'])) {
			if (preg_match('/^[1-9]+[0-9]*$/', $_POST['id'])) {
				/* проверим что обновляемый пользователь существует */
				$tmpid = mysql_real_escape_string($_POST['id']);
				$query = "select id from users where id = '$tmpid'";

				$result = mysql_query($query) or
					message_die('Query failed "' .
					make_line(__FILE__, __LINE__) . '": ' . mysql_error());
				$find = mysql_num_rows($result);
				mysql_free_result($result);

				if (!$find) {
					$errorFlags = true;
					$errorMsg[] = "Пользователь с идентификатором '$id' не существует.";
					$ret = false;
				} else {
					$id = $tmpid;
				}
			} else {
				$errorFlags = true;
				$errorMsg[] = "Идентификатор пользователя '${_POST['id']}' содержит не верное значение.";
				$ret = false;
			}
		} else {
			$errorFlags = true;
			$errorMsg[] = 'Идентификатор пользователя содержит пустое значение.';
			$ret = false;
		}
	} else {
		$errorFlags = true;
		$errorMsg[] = 'Не определен идентификатор пользователя для редактирования.';
		$ret = false;
	}

	return checkNewUser($id) ? $ret : false;
}

/* выполнение редактирования пользователя */
if ($acl === 'update') {
	if (isset($_POST['acl'])) {
		if ($_POST['acl'] === 'new') {
			/* создадим нового пользователя */
			if (checkNewUser()) {
				$groupid = mysql_real_escape_string($_POST['groupid']);
				$name = mysql_real_escape_string($_POST['name']);
				$fname = mysql_real_escape_string($_POST['fname']);
				$passwd = sha1("${_POST['passwd1']}|$passwd_salt");
				$email = mysql_real_escape_string($_POST['email']);

				$query = "insert into users values (null, '$groupid', '$name', '$fname', '$email', '$passwd', null)";

				mysql_query($query) or
					message_die('Query failed "' .
					make_line(__FILE__, __LINE__) . '": ' . mysql_error());

				$succesFlags = true;
				$succesMsg = "Новый пользоваль '$name' добавлен успешно.";
				$acl = null;
			} else {
				$acl = 'new';
			}
		} else if ($_POST['acl'] === 'edit') {
			/* изменим данные пользователя */
			if (checkEditUser()) {
				$id = mysql_real_escape_string($_POST['id']);
				if ($id != ROOT_USER_ID) {
					$groupid = mysql_real_escape_string($_POST['groupid']);
					$name = mysql_real_escape_string($_POST['name']);
				} else {
					$groupid = ROOT_GROUP_ID;
					$name = ROOT_USER_NAME;
				}
				$fname = mysql_real_escape_string($_POST['fname']);
				if ($id != SESS_ID)
					$passwd = sha1("${_POST['passwd1']}|$passwd_salt");
				$email = mysql_real_escape_string($_POST['email']);

				$query = "update users set fname = '$fname', email = '$email', sessid = null";
				if ($id != ROOT_USER_ID)
					$query .= ", groupid = '$groupid', name = '$name'";
				if ($id != SESS_ID)
					$query .= ", passwd = '$passwd'";
				$query .= " where id = '$id'";

				mysql_query($query) or
					message_die('Query failed "' .
					make_line(__FILE__, __LINE__) . '": ' . mysql_error());

				$succesFlags = true;
				$succesMsg = "Данные пользователя '$name' успешно обновлены.";
				$acl = null;
			} else {
				if (isset($_POST['id'])) {
					$_GET['id'] = $_POST['id'];
					$acl = 'edit';
				} else {
					$acl = null;
				}
			}
		} else {
			$acl = null;
			$errorFlags = true;
			$errorMsg[] = "Идентификатор действия редактирования содержит не корректную запись.";
		}
	} else {
		$acl = null;
		$errorFlags = true;
		$errorMsg[] = "Не найден идентификатор действия редактирования.";
	}
}

/* запросы на редактирование пользователей */
if ($acl === 'edit') {
	/* запрос на редактирования пользователя */
	if (isset($_GET['id'])) {
		if (preg_match('/^[1-9]+[0-9]*$/', $_GET['id'])) {
			/* получим данные пользователя для редактирования */
			$id = mysql_real_escape_string($_GET['id']);

			$query = "select id, groupid, name, fname, email from users where id = '$id'";
		
			$result = mysql_query($query) or
				message_die('Query failed "' .
				make_line(__FILE__, __LINE__) . '": ' . mysql_error());

			/* получим данные пользователя */
			if (mysql_num_rows($result)) {
				$user = mysql_fetch_assoc($result);
				/* заголовок формы ввода */
				$titleInput = "Редактирование пользователя '${user['name']}'";
			} else {
				$acl = null;
				$errorFlags = true;
				$errorMsg[] = "Пользователь с идентификатором '$id' не найден.";
			}

			mysql_free_result($result);
		} else {
			$acl = null;
			$errorFlags = true;
			$errorMsg[] = "Идентификатор пользователя '${_GET['id']}' содержит не верное значение.";
		}
	} else {
		$acl = null;
		$errorFlags = true;
		$errorMsg[] = "Не найден идентификатор пользователя для редактирования.";
	}
} else if ($acl === 'del') {
	if (isset($_GET['id'])) {
		if (preg_match('/^[1-9]+[0-9]*$/', $_GET['id'])) {
			/* удалим пользователя */
			$id = mysql_real_escape_string($_GET['id']);
			if ($id != ROOT_USER_ID) {
				$query = "delete from users where id = '$id'";
				mysql_query($query) or
					message_die('Query failed "' .
					make_line(__FILE__, __LINE__) . '": ' . mysql_error());

				if (mysql_affected_rows()) {
					$succesFlags = true;
					$succesMsg = "Пользователь успешно удален.";
				} else {
					$errorFlags = true;
					$errorMsg[] = "Пользователь с идентификатором '$id' для удаления не найден.";
				}
			} else {
				$errorFlags = true;
				$errorMsg[] = "Пользователь '" . ROOT_USER_NAME . "' является системным пользователем. Его нельзя удалить.";
			}
		} else {
			$errorFlags = true;
			$errorMsg[] = "Идентификатор пользователя '${_GET['id']}' содержит не верное значение.";
		}
	} else {
		$errorFlags = true;
		$errorMsg[] = "Не найден идентификатор пользователя для удаления.";
	}
	/* после действия удаления всегда происходит переход на действие по умолчанию */
	$acl = null;
} else if ($acl === 'new') {
	/*
	 * Запрос на создание пользователя.
	 * Используется страница редактирования, только поля форм ввода пустые.
	 */
	$user['id'] = 0;
	$user['groupid'] = key($groupList);
	$user['name'] = '';
	$user['fname'] = '';
	$user['email'] = '';
	/* заголовок формы ввода */
	$titleInput = "Создание нового пользователя";
}

/* Запросов небыло, получим данные о пользователях */
if (!$acl) {
	/* получим всех пользователей из базы */
	$query = "select id, groupid, name, fname, email from users order by id";

	$result = mysql_query($query) or
		message_die('Query failed "' .
		make_line(__FILE__, __LINE__) . '": ' . mysql_error());

	$users = array();
	while ($line = mysql_fetch_assoc($result)) {
		$users[] = $line;
	}

	mysql_free_result($result);
}

/**
 * Отобразим страницу.
 */
$title = "Система: Управление пользователями";

/* заголовок документа */
print_html_head($title);

/* тело документа */
echo <<<EOF
<table width="100%" cellspacing="0" cellpadding="10" border="0"><tr><td>
<div class="title">$title</div>
EOF;

if ($errorFlags)
	print_error($errorTitle, $errorMsg);
else if ($succesFlags)
	print_succes($succesMsg);

if ($acl === 'edit' || $acl === 'new') {
	if ($user['id'] == ROOT_USER_ID) {
		echo '<p><span class="note">Внимание:</span>&nbsp;&nbsp;Вы редактируете зарезервированную системную ' .
			"учетную запись пользователя '" . ROOT_USER_NAME . "'. Вы не сможете изменить ее имя и группу в " .
			"которую она входит.</p>";
	}

	echo <<<EOF
<div class="idoc">
<form method="post" action="./index.php?section=admin&amp;content=system_usermanager&amp;acl=update">
<input type="hidden" name="acl" value="$acl" />
EOF;

	if ($acl === 'edit') {
		echo "<input type=\"hidden\" name=\"id\" value=\"${user['id']}\" />\n";
	}

	echo <<<EOF
<table width="100%" cellspacing="0" cellpadding="6" border="0">
<tr><td class="icapt" colspan="2">$titleInput</td></tr>
<tr>
<td class="idesc" width="22%">Имя пользователя</td>
<td class="ibox">
EOF;

	echo '<input class="text" type="text" name="name" value="' . $user['name'] . '" size="20" maxlength="15" ';
	if ($user['id'] == ROOT_USER_ID)
		echo 'disabled="disabled" ';
	echo '/>';

	echo <<<EOF
</td></tr>
<tr>
<td class="idesc">Пароль</td>
<td class="ibox">
EOF;

	/* запретим пользователю менять свой пароль через данную вкладку */
	echo '<input class="text" type="password" name="passwd1" size="20" maxlength="15" ';
	if ($user['id'] == SESS_ID)
		echo 'disabled="disabled" ';
	echo '/><br />';

	echo '<input class="text" type="password" name="passwd2" size="20" maxlength="15" ';
	if ($user['id'] == SESS_ID)
		echo 'disabled="disabled" ';
	echo '/>&nbsp;&nbsp;(повторить)';

	if ($user['id'] == SESS_ID) {
		echo '<br />Для изменения своего пароля воспользуйтесь страницей ' .
			'<a href="./index.php?section=admin&amp;content=system_changepasswd">Система: Сменить пароль</a>.';
	}

	echo <<<EOF
</td></tr>
<tr>
<td class="idesc">Имя группы</td>
<td class="ibox">
EOF;

	echo '<select name="groupid"';
	if ($user['id'] == ROOT_USER_ID)
		echo ' disabled="disabled"';
	echo '>';

	foreach ($groupList as $key => $val) {
		if ($user['groupid'] == $key)
			echo "<option selected=\"selected\" value=\"$key\">$val</option>";
		else
				echo "<option value=\"$key\">$val</option>";
	}

	echo '</select>';

	echo <<<EOF
<br />
Группа, в которую будет входить данный пользователь.
</td>
</tr>
<tr>
<td class="idesc" width="22%">Полное имя</td>
<td class="ibox"><input class="text" type="text" name="fname" value="${user['fname']}" size="25" maxlength="25" /><br />
Используется для информации.</td>
</tr>
<tr>
<td class="idesc" width="22%">Адрес электронной почты</td>
<td class="ibox"><input class="text" type="text" name="email" value="${user['email']}" size="25" maxlength="35" /><br />
Необходимо для связи с пользователем.</td>
</tr>
<tr><td></td><td><input class="submit" type="submit" value="Сохранить" /></td></tr>
</table></form></div>
EOF;
} else {
	echo "<p><span class=\"note\">Внимание:</span>&nbsp;&nbsp;Пользователя '" .
		ROOT_USER_NAME . "' нельзя удалить, так как он является системной учетной записью " .
		"с правами администратора системы.</p>";

	echo <<<EOF
<div class="tdoc"><table width="100%" cellspacing="0" cellpadding="6" border="0">
<tr><td class="tcapt">Пользователь</td><td class="tcapt">Полное имя</td><td class="tcapt">email</td>
<td class="tcapt-end">Группа</td><td width="10%"></td></tr>\n
EOF;

	foreach ($users as $i => $user) {
		echo '<tr><td class="tbox-begin">' . $user['name'] . '</td>' .
			'<td class="tbox">' . $user['fname'] . '</td>' .
			'<td class="tbox">' . $user['email'] . '</td>' .
			'<td class="tbox-mark">' . $groupList[$user['groupid']] . '</td>' .
			'<td class="tlist">' .
			'<a href="./index.php?section=admin&amp;content=system_usermanager&amp;acl=edit&amp;id=' . $user['id'] . '">' .
			'<img height="17" width="17" title="редактировать запись" src="./images/e.gif" alt="edit" /></a>&nbsp;';
		if ($user['id'] != ROOT_USER_ID) {
			echo '<a onclick="return confirm(\'Вы действительно хотите удалить пользователя ' . "\\'${user['name']}\\'" .
				'.\')" ' . 'href="./index.php?section=admin&amp;content=system_usermanager&amp;acl=del&amp;id=' . $user['id'] .
				'"><img height="17" width="17" title="удалить запись" src="./images/x.gif" alt="del" /></a>';
		}
		echo "</td></tr>\n";
	}

	echo <<<EOF
<tr><td colspan="4"></td><td class="tlist" width="10%">
<a href="./index.php?section=admin&amp;content=system_usermanager&amp;acl=new">
<img height="17" width="17" title="добавить запись" src="./images/plus.gif" alt="add" /></a></td></tr>
</table></div>

<p>Здесь можно добавить пользователей которые получат доступ к WEB-интерфейсу
настройки системы. Права пользователей определяются правами группы в которую
они входят.</p>
EOF;
}

echo "</td></tr></table>\n";

/* окончание документа */
print_html_tail();

?>