]> projects.mako.cc - selectricity-live/blobdiff - app/controllers/quickvote_controller.rb
fix security issue
[selectricity-live] / app / controllers / quickvote_controller.rb
index f7ad5ff33f3105dd589a94ea37b2b418b7e01024..701005d08ed03f1835326cf2f598aaa663ea6ac7 100644 (file)
@@ -2,21 +2,11 @@
 # Copyright (C) 2007, 2008 Benjamin Mako Hill <mako@atdot.cc>
 # Copyright (C) 2007 Massachusetts Institute of Technology
 #
 # Copyright (C) 2007, 2008 Benjamin Mako Hill <mako@atdot.cc>
 # Copyright (C) 2007 Massachusetts Institute of Technology
 #
-# This program is free software: you can redistribute it and/or modify
-# it under the terms of the GNU Affero General Public License as
-# published by the Free Software Foundation, either version 3 of the
-# License, or (at your option) any later version.
-#
-# This program is distributed in the hope that it will be useful, but
-# WITHOUT ANY WARRANTY; without even the implied warranty of
-# MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the GNU
-# Affero General Public License for more details.
-#
-# You should have received a copy of the GNU Affero General Public
-# License along with this program.  If not, see
-# <http://www.gnu.org/licenses/>.
+# This program is free software. Please see the COPYING file for
+# details.
 
 class QuickvoteController < ApplicationController
 
 class QuickvoteController < ApplicationController
+  helper :sparklines
   layout 'main'
   require_dependency "quick_voter"
   require_dependency "quick_vote"
   layout 'main'
   require_dependency "quick_voter"
   require_dependency "quick_vote"
@@ -54,6 +44,7 @@ class QuickvoteController < ApplicationController
 
       #Give registered users additional QuickVote functionality 
       @quickvote.user_id = session[:user][:id] if session[:user]
 
       #Give registered users additional QuickVote functionality 
       @quickvote.user_id = session[:user][:id] if session[:user]
+      @quickvote.create_candidates
 
       # try to save, if it fails, show the page again (the flash should
       # still be intact
 
       # try to save, if it fails, show the page again (the flash should
       # still be intact
@@ -94,7 +85,7 @@ class QuickvoteController < ApplicationController
       end
     end
     flash.keep(:candidate_names)
       end
     end
     flash.keep(:candidate_names)
-    render_partial 'candidate_list'
+    render :partial => 'candidate_list'
   end
  
   #############################################################
   end
  
   #############################################################
@@ -106,6 +97,13 @@ class QuickvoteController < ApplicationController
     # if the person has specified an election, we show them the voting
     # page. otherwise, we redirect back to main the page
     if @election
     # if the person has specified an election, we show them the voting
     # page. otherwise, we redirect back to main the page
     if @election
+
+      # if the election is over, redirect to the the results page
+      unless @election.active?
+        redirect_to quickaction_url(:ident => params[:ident],
+                                    :action => 'results')
+      end
+
       # look to see that the voter has been created and has voted in
       # this election, and has confirmed their vote
       @voter = QuickVoter.find(:all,
       # look to see that the voter has been created and has voted in
       # this election, and has confirmed their vote
       @voter = QuickVoter.find(:all,
@@ -138,6 +136,7 @@ class QuickvoteController < ApplicationController
   end
 
   def confirm
   end
 
   def confirm
+    
     # we need the election to verify that we have the right voter
     election = QuickVote.ident_to_quickvote(params[:ident])
 
     # we need the election to verify that we have the right voter
     election = QuickVote.ident_to_quickvote(params[:ident])
 
@@ -145,7 +144,7 @@ class QuickvoteController < ApplicationController
     @voter = QuickVoter.find(:all,
       :conditions => ["session_id = ? and election_id = ?", 
                       session.session_id, election.id])[0]
     @voter = QuickVoter.find(:all,
       :conditions => ["session_id = ? and election_id = ?", 
                       session.session_id, election.id])[0]
-  
+   
     if not @voter
       # we have not seen this  voter before. something is wrong, try
       # again
     if not @voter
       # we have not seen this  voter before. something is wrong, try
       # again
@@ -157,18 +156,18 @@ class QuickvoteController < ApplicationController
       redirect_to quickvote_url( :ident => params[:ident] )
       
     else
       redirect_to quickvote_url( :ident => params[:ident] )
       
     else
+      
       # record the ip address for posterity
       # record the ip address for posterity
-      @voter.ipaddress = request.env["REMOTE_ADDR"]
+      @voter.ipaddress = request.env["HTTP_X_FORWARDED_FOR"]
       @voter.save
       
       @voter.save
       
-      # save the time the vote was made for statistical use
-      @voter.vote.time = Time.now
-      
       # toggle the confirmation bit      
       # toggle the confirmation bit      
-      @voter.vote.confirm!
-     
-      @voter.reload
-      render :action => 'thanks'
+      if @voter.vote.confirm!
+        @voter.reload
+        render :action => 'thanks'
+      else
+        redirect_to :action => 'index'
+      end
     end
   end
  
     end
   end
  
@@ -186,9 +185,10 @@ class QuickvoteController < ApplicationController
     @election=QuickVote.ident_to_quickvote(params[:id])
     @election.voters.each do |voter|
       next unless voter.ipaddress
     @election=QuickVote.ident_to_quickvote(params[:id])
     @election.voters.each do |voter|
       next unless voter.ipaddress
+
       location=nil
       location=nil
-      if defined? Cache and location=Cache.get("GEO:#{voter.ipaddress}")
-      elsif defined? Cache
+      if Cache and location=Cache.get("GEO:#{voter.ipaddress}")
+      elsif Cache
         location = GeoKit::Geocoders::IpGeocoder.geocode(voter.ipaddress)
         Cache.set "GEO:#{voter.ipaddress}", location
       else
         location = GeoKit::Geocoders::IpGeocoder.geocode(voter.ipaddress)
         Cache.set "GEO:#{voter.ipaddress}", location
       else

Benjamin Mako Hill || Want to submit a patch?