]> projects.mako.cc - selectricity-live/blobdiff - app/controllers/election_controller.rb
fix security issue
[selectricity-live] / app / controllers / election_controller.rb
index 3e169646bac4d583087fc585c36304fc186f9999..58c5c47f1737ae300eaa31fc77152957903080fb 100644 (file)
@@ -2,27 +2,25 @@
 # Copyright (C) 2007, 2008 Benjamin Mako Hill <mako@atdot.cc>
 # Copyright (C) 2007 Massachusetts Institute of Technology
 #
-# This program is free software: you can redistribute it and/or modify
-# it under the terms of the GNU Affero General Public License as
-# published by the Free Software Foundation, either version 3 of the
-# License, or (at your option) any later version.
-#
-# This program is distributed in the hope that it will be useful, but
-# WITHOUT ANY WARRANTY; without even the implied warranty of
-# MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the GNU
-# Affero General Public License for more details.
-#
-# You should have received a copy of the GNU Affero General Public
-# License along with this program.  If not, see
-# <http://www.gnu.org/licenses/>.
+# This program is free software. Please see the COPYING file for
+# details.
 
 class ElectionController < ApplicationController
   require_dependency "raw_voter_list"
   require_dependency "voter"
   require_dependency "vote"
   require_dependency "candidate"
+
+  helper :sparklines
   layout 'main'
 
+
+  before_filter :verify_owner,
+    :except => [:new, :general_information, :create_election]
+  before_filter :verify_not_active,
+    :except => [:new, :general_information, :create_election,
+                :show, :results, :details, :pref_tables]
+
   ## methods for displaying, creating,
   ## and manipulating election overview data
   ####################################################################
@@ -45,6 +43,7 @@ class ElectionController < ApplicationController
     @election.user = session[:user]
     @election.anonymous = 1
     @election.startdate = Time.now
+    @election.type = 'Election'
     
     holder = create_theme_hash
     unless holder.values.all? {|v| v.has_value?("")}
@@ -61,18 +60,9 @@ class ElectionController < ApplicationController
     end
   end
   
-  def create_theme_hash
-    target = Hash.new
-    params.each do |k,v|
-      target[k] = v if k=="top_bar" or k=="default_image" or k=="bg1" \
-                    or k=="bg2" or k=="bottom_bar"
-    end
-    return target
-  end
-  
-  # TODO add filter to verify that the person working on or looking at
-  # something is the owner
   def edit_general_information
+    @sidebar_content = render_to_string :partial => 'progress',
+                                        :locals => { :page => 'overview' }
     @election = Election.find(params[:id])
   end
   
@@ -93,7 +83,7 @@ class ElectionController < ApplicationController
       flash[:notice] = 'Election was successfully updated.'
       redirect_to :action => 'show', :id => @election
     else
-      render :action => 'edit'
+      render :action => 'edit_general_information'
     end
   end
   
@@ -159,7 +149,7 @@ class ElectionController < ApplicationController
                                         :locals => { :page => 'review' }
 
     @election = Election.find(params[:id])
-    if @election.type == QuickVote
+    if @election.class  == QuickVote
       redirect_to(:controller => 'quickvote', :action => 'index', :ident => @election.id)
     end
       
@@ -183,7 +173,7 @@ class ElectionController < ApplicationController
   def edit_candidates
     @sidebar_content = render_to_string :partial => 'progress',
                                         :locals => { :page => 'candidates' }
-    @election = Election.find( params[:id] )
+    @election = Election.find(params[:id] )
   end
 
   def add_candidate
@@ -206,12 +196,12 @@ class ElectionController < ApplicationController
   end
   
   def delete_candidate
-    candidate = Candidate.find( params[:id] )
+    candidate = Candidate.find(params[:candidate] )
     candidate.destroy
   end
 
   def candidate_picture
-    candidate = Candidate.find( params[:id] )
+    candidate = Candidate.find(params[:candidate])
     send_data( candidate.picture.data,
                :filename => candidate.picture.filename,
               :type => candidate.picture.filetype,
@@ -229,7 +219,8 @@ class ElectionController < ApplicationController
     @sidebar_content = render_to_string :partial => 'progress',
                                         :locals => { :page => 'voters' }
 
-    @election = Election.find( params[:id] )
+    @election = Election.find(params[:id])
+
     if params.has_key?( :raw_voter_list )
       process_incoming_voters( params[:raw_voter_list] )
     end
@@ -238,7 +229,7 @@ class ElectionController < ApplicationController
   end
   
   def delete_voter
-    voter = Voter.find( params[:id] )
+    voter = FullVoter.find(params[:voter])
     voter.destroy
   end
 
@@ -255,40 +246,27 @@ class ElectionController < ApplicationController
   ## methods for computing and printing results
   ####################################################################
   def results
-    @election = Election.find( params[:id] )
-    votes = []
-    
-    @election.voters.each do |voter|
-      if voter.vote and voter.vote.confirmed?
-        votes << voter.vote.rankings.sort.collect {|vote| vote.candidate_id}
-      end
+    @election = Election.find(params[:id])
+
+    if @election.early_results? \
+       or @election.enddate < Time.now
+      
+      # render results
+      @sidebar_content = render_to_string(:partial => 'full_results_sidebar')
+      render :template => 'common/results'
+    else
+      redirect_to :action => 'index'
     end
-    
-    @voteobj = CloneproofSSDVote.new(votes)
-    @resultobj = @voteobj.result
-    @winners = @resultobj.winners
-    
-    @candidates_by_id = {}
-    @election.candidates.each {|cand| @candidates_by_id[cand.id] = cand}
-    
   end
   
-  def detailed_results
-   
-    self.results
-
-    @voter_list = []
-    @vote_list = []
-    
-    @election.voters.each do |voter|
-      if voter.vote and voter.vote.confirmed?
-        @voter_list << voter.email
-             @vote_list << voter.vote
-      end
-    end
+  def pref_tables
+    @election = Election.find(params[:id])
+    render :template => 'common/pref_tables_wrapper', :layout => 'basic'
+  end
 
-    @vote_list.sort!
-    @vote_list.sort! { |a,b| a.token <=> b.token }
+  def details
+    @election = Election.find(params[:id])
+    render :template => 'common/details'
   end
 
   ## private methods
@@ -324,5 +302,30 @@ class ElectionController < ApplicationController
         voter.save
       end
     end
+  
+    def create_theme_hash
+      target = Hash.new
+      params.each do |k,v|
+        target[k] = v if k=="top_bar" or k=="default_image" or k=="bg1" \
+                      or k=="bg2" or k=="bottom_bar"
+      end
+      return target
+    end
+
+    # verify that the person trying to edit the election is the owner
+    def verify_owner
+      election = Election.find(params[:id])
+      unless election.user == session[:user]
+        redirect_to :controller => 'front', :action => 'index' 
+      end
+    end
+
+    # verify that the election is not active
+    def verify_not_active
+      election = Election.find(params[:id])
+      unless election.active == 0
+        redirect_to :controller => 'front', :action => 'index' 
+      end
+    end
 
 end

Benjamin Mako Hill || Want to submit a patch?