path sanitizing for card parameter
[confetti] / cards / update_card.sh
1 #!/bin/zsh
2
3 # Copyright 2014, 2016, 2019 Paul Hänsch
4 #
5 # This file is part of Confetti.
6
7 # Confetti is free software: you can redistribute it and/or modify
8 # it under the terms of the GNU Affero General Public License as published by
9 # the Free Software Foundation, either version 3 of the License, or
10 # (at your option) any later version.
11
12 # Confetti is distributed in the hope that it will be useful,
13 # but WITHOUT ANY WARRANTY; without even the implied warranty of
14 # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
15 # GNU Affero General Public License for more details.
16
17 # You should have received a copy of the GNU Affero General Public License
18 # along with Confetti.  If not, see <http://www.gnu.org/licenses/>. 
19
20 . "$_EXEC/pdiread.sh"
21 . "$_EXEC/session_lock.sh"
22
23 unset filter order card action newfield
24 unset cardfile attfile tempfile
25 unset vcf field cnt delete_key
26
27 filter="$(REF f)"
28 order="$(REF o)"
29
30 card="$(POST card |PATH)"
31 cardfile="$_DATA/vcard/${card##*/}"
32 attfile="$_DATA/mappings/attendance"
33
34 action="$(POST action)"
35 newfield="$(POST newfield |grep -m 1 -xE '[A-Z][A-Z0-9-]*')"
36
37 if printf '%s\n' "$action" |grep -qxE 'addfield [A-Z][A-Z0-9]*'; then
38   newfield="${action##* }"
39   action=addfield
40 fi
41
42 if ! tempfile=$(CHECK_SLOCK "$cardfile"); then
43   SET_COOKIE 0 message="NO VALID FILE LOCK"
44   REDIRECT "/cards/?o=${order}&f=${filter}&e=${card}"
45   exit 0
46 elif [ "$(POST tid)" != "$(transid "$tempfile")" ]; then
47   SET_COOKIE 0 message="INVALID TRANSACTION ID"
48   REDIRECT "/cards/?o=${order}&f=${filter}&e=${card}"
49   exit 0
50 fi
51
52 vcf_escape(){
53   for each in "$@"; do
54     printf %s\\n "$each" \
55     | sed -E ':X;$!{N;bX}; s;\r\n;\n;g; s;([;,\\]);\\\1;g; s;\n;\\n;g;'
56   done \
57   | sed -E ':X;$!{N;bX}; s;\n;\;;g'
58 }
59
60 # [ "${_POST[hi_select]}" = "list" ] || _POST[hi_company]="${_POST[hi_other]}"
61 # [ -n "${_POST[hi_company]}${_POST[hi_number]}${_POST[hi_status]}" ] \
62 # && _POST[X-HEALTH-INSURANCE]="$(vcf_escape "${_POST[hi_company]}" "${_POST[hi_number]}" "${_POST[hi_status]}")"
63
64 vcf="$(pdi_load "$cardfile")"
65
66 vcf="$(pdi_update_value "$vcf" N 1 "$(vcf_escape "$(POST 1N)" "$(POST 2N)" "$(POST 3N)" "$(POST 4N)" "$(POST 5N)")")"
67
68 for field in $(POST_KEYS |grep -xE '[A-Z][A-Z0-9-]*'); do
69   for cnt in $(seq 1 $(POST_COUNT "$field")); do
70     case "$field" in
71       # (TEL)
72       #   printf '%s;TYPE=%s:%s\r\n' "${field}" "${_POST[phonetype${key#TEL}]}" "$(vcf_escape "$(POST "$field" "$cnt")")"
73       #   ;;
74       TEL)
75          vcf="$(pdi_update_attrib "$vcf" TEL $cnt TYPE="$(POST teltype $cnt |grep -Exm1 'HOME|WORK|CELL|FAX')")"
76          vcf="$(pdi_update_value "$vcf" "$field" "$cnt" "$(vcf_escape "$(POST "$field" "$cnt")")")"
77          ;;
78       *)
79          vcf="$(pdi_update_value "$vcf" "$field" "$cnt" "$(vcf_escape "$(POST "$field" "$cnt")")")"
80         ;;
81     esac
82 done; done
83
84 # delete fields, first mark for deletion using delete_key
85 # this way the field enumeration is preserved during the process
86 # finally filter marked lines
87 delete_key="$(randomid)"
88 for delete in $(POST_KEYS |grep -xE '[A-Z][A-Z0-9-]*_delete_[0-9]+'); do
89   f="${delete%%_*}"; c="${delete##*_}";
90   [ "$(POST "$delete")" = "true" ] && vcf="$(pdi_update_value "$vcf" "$f" "$c" "delete=${delete_key}")"
91 done
92 vcf="$(printf '%s\n' "$vcf" |sed -E "/^[^:]+:delete=${delete_key}\$/d")"
93
94 if [ "$action" = addfield ]; then
95   vcf="$(pdi_update_value "$vcf" "$newfield" $(( $(pdi_count "$vcf" "$newfield") + 1 )) '')"
96 fi
97 printf '%s' "$vcf" |grep -vx '' >"$tempfile"
98
99 case "$action" in
100   addfield)
101     REDIRECT "/cards/?o=${order}&f=${filter}&e=${card}"
102     ;;
103   update)
104     # attendance=()
105     # for att in attendance attendance{0..100}; do
106     #   [ -n "${_POST[$att]}" ] && attendance+=("${_POST[$att]}")
107     # done
108     # sed -rn 's:^(.+)'$card'$:\1:p' "$attfile" |while read course; do
109     #   touch "$_DATA/ical/$course"
110     # done
111     # sed -i -r '/^(.+)\t'$card'$/d' "$attfile"
112     # for each in $attendance; do
113     #   echo "$each\t$card"
114     # done >>"$attfile"
115     # sed -rn 's:^(.+)'$card'$:\1:p' "$attfile" |while read course; do
116     #   touch "$_DATA/ical/$course"
117     # done
118
119     cp "$tempfile" "$cardfile"
120     RELEASE_SLOCK "$cardfile"
121     REDIRECT "/cards/?o=${order}&f=${filter}#${card}"
122     ;;
123   cancel)
124     RELEASE_SLOCK "$cardfile"
125     [ -f "$cardfile" ] \
126     && REDIRECT "/cards/?o=${order}&f=${filter}#${card}" \
127     || REDIRECT "/cards/?o=${order}&f=${filter}"
128     ;;
129   delete)
130     rm "$cardfile"
131     RELEASE_SLOCK "$cardfile"
132     REDIRECT "/cards/?o=${order}&f=${filter}"
133     ;;
134 esac