Bug 11866: (follow-up) repair security issue introduced by main patch
[koha.git] / course_reserves / course-details.pl
1 #!/usr/bin/perl
2
3 #
4 # Copyright 2012 Bywater Solutions
5 #
6 # This file is part of Koha.
7 #
8 # Koha is free software; you can redistribute it and/or modify it under the
9 # terms of the GNU General Public License as published by the Free Software
10 # Foundation; either version 2 of the License, or (at your option) any later
11 # version.
12 #
13 # Koha is distributed in the hope that it will be useful, but WITHOUT ANY
14 # WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS FOR
15 # A PARTICULAR PURPOSE.  See the GNU General Public License for more details.
16 #
17 # You should have received a copy of the GNU General Public License along
18 # with Koha; if not, write to the Free Software Foundation, Inc.,
19 # 51 Franklin Street, Fifth Floor, Boston, MA 02110-1301 USA.
20
21 use Modern::Perl;
22
23 use CGI;
24
25 use C4::Auth;
26 use C4::Output;
27 use C4::Koha;
28
29 use C4::CourseReserves qw(DelCourseReserve GetCourse GetCourseReserves);
30
31 my $cgi = new CGI;
32
33 my $action = $cgi->param('action') || '';
34 my $course_id = $cgi->param('course_id');
35
36 my $flagsrequired;
37 $flagsrequired->{coursereserves} = 'delete_reserves' if ( $action eq 'del_reserve' );
38
39 my $tmpl = ($course_id) ? "course-details.tt" : "invalid-course.tt";
40 my ( $template, $loggedinuser, $cookie ) = get_template_and_user(
41     {   template_name   => "course_reserves/$tmpl",
42         query           => $cgi,
43         type            => "intranet",
44         authnotrequired => 0,
45         flagsrequired   => $flagsrequired,
46     }
47 );
48
49 if ( $action eq 'del_reserve' ) {
50     DelCourseReserve( cr_id => $cgi->param('cr_id') );
51 }
52
53 my $course          = GetCourse($course_id);
54 my $course_reserves = GetCourseReserves(
55     course_id       => $course_id,
56     include_items   => 1,
57     include_courses => 1
58 );
59
60 $template->param(
61     course          => $course,
62     course_reserves => $course_reserves,
63 );
64
65 output_html_with_http_headers $cgi, $cookie, $template->output;